BotenaGo

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

BotenaGo

Cookies Settings