Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Botnet

Botnet

Operasi Baru Dari Horabot Mengambil Alih Akun Gmail & Outlook Korban

by

Operasi Horabot yang baru ini ditemukan oleh para analis di Cisco Talos, yang melaporkan bahwa pelaku ancaman di baliknya kemungkinan berbasis di Brasil.

Malicious page hosted on AWS (Cisco)
Malicious page hosted on AWS (Cisco)

Rantai infeksi dengan beberapa tahap dimulai dengan email phishing berisi tema pajak yang dikirim kepada target, dengan lampiran HTML yang seolah-olah merupakan tanda terima pembayaran.

Membuka file HTML tersebut akan memicu rangkaian pengalihan URL yang mengarahkan korban ke halaman HTML yang dihosting pada instansi AWS yang dikendalikan oleh penyerang.

Korban mengklik hyperlink pada halaman tersebut dan mengunduh sebuah arsip RAR yang berisi file batch dengan ekstensi CMD, yang kemudian mengunduh sebuah skrip PowerShell yang mengambil DLL trojan dan serangkaian file eksekusi yang sah dari server C2.

Trojan-trojan ini dijalankan untuk mengambil dua payload terakhir dari server C2 yang berbeda. Salah satunya adalah skrip pengunduh PowerShell, dan yang lainnya adalah binary Horabot.

Function to extract email addresses (Cisco)
Function to extract email addresses (Cisco)

Payload utama yang dijatuhkan ke sistem korban adalah Horabot, sebuah botnet berbasis PowerShell yang terdokumentasi dan mengincar kotak surat Outlook korban untuk mencuri kontak dan menyebarkan email phishing yang berisi lampiran HTML berbahaya.

Malware ini menjalankan aplikasi desktop Outlook korban untuk memeriksa buku alamat dan kontak dari isi inbox.

Horabot infection flow (Cisco)
Horabot infection flow (Cisco)

Semua alamat email yang diekstraksi ditulis ke dalam file “.Outlook” dan kemudian dienkripsi dan dieksfiltrasi ke server C2.

Terakhir, malware ini membuat sebuah file HTML secara lokal, mengisinya dengan konten yang disalin dari sumber eksternal, dan mengirimkan email phishing ke semua alamat email yang diekstraksi secara individu.

Setelah proses distribusi email phishing selesai, file dan folder yang dibuat secara lokal dihapus untuk menghapus jejak-jejak yang ada.

Selengkapnya: Bleeping Computer

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

by

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Peretas Mengeksploitasi Bug Kritis Cacti untuk Memasang Malware

by

Lebih dari 1.600 contoh alat pemantau perangkat Cacti yang dapat dijangkau melalui internet rentan terhadap masalah keamanan kritis yang sudah mulai dieksploitasi oleh peretas.

Cacti adalah solusi pemantauan manajemen operasional dan kesalahan untuk perangkat jaringan yang juga menyediakan visualisasi grafis. Ada ribuan instans yang diterapkan di seluruh dunia yang diekspos di web.

Penasihat keamanan memperingatkan tentang kerentanan injeksi perintah kritis yang dilacak sebagai CVE-2022-46169 dengan peringkat keparahan 9,8 dari 10, di Cacti yang dapat dieksploitasi tanpa autentikasi.

Selain merilis pembaruan yang memperbaiki kerentanan, pengembang juga memberikan saran untuk mencegah injeksi perintah dan bypass otorisasi.

Awalnya, eksploitasi memasang botnet, seperti malware Mirai. Eksploitasi lain yang diinstal adalah botnet IRC (berbasis PERL) yang membuka shell terbalik pada host dan menginstruksikannya untuk menjalankan pemindaian port. Serangan yang lebih baru hanya memeriksa kerentanan.

Data peneliti Shadowserver menunjukkan upaya eksploitasi untuk kerentanan CVE-2022-46169 di Cacti meningkat minggu lalu dan jumlah total saat ini berada di bawah dua lusin.

Dalam laporan dari platform Censys, perangkat yang terhubung ke Internet, ada 6.427 host Cacti yang terekspos di web. Namun, perusahaan dapat menghitung 1.637 host Cacti yang dapat dijangkau melalui web yang rentan terhadap CVE-2022-46169, banyak di antaranya menjalankan solusi pemantauan versi 1.1.38, yang dirilis pada April 2021.

Selengkapnya: BleepingComputer

Malware Zerobot Sekarang Menyebar dengan Mengeksploitasi Kerentanan Apache

by

Botnet Zerobot telah ditingkatkan untuk menginfeksi perangkat baru dengan mengeksploitasi kerentanan keamanan yang memengaruhi server Apache yang terbuka dan tidak terhubung ke Internet.

Tim peneliti Pertahanan Microsoft untuk IoT juga mengamati bahwa versi terbaru ini menambahkan kemampuan penolakan layanan terdistribusi (DDoS) baru.

Pembaruan yang terlihat oleh Microsoft menambahkan eksploit yang lebih baru ke toolkit malware, memungkinkannya untuk menargetkan tujuh jenis perangkat dan perangkat lunak baru, termasuk server Apache dan Apache Spark yang belum ditambal.

Daftar lengkap modul yang ditambahkan ke Zerobot 1.1 meliputi:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin of Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Terakhir tapi tidak kalah penting, malware yang diperbarui kini hadir dengan tujuh kemampuan DDoS baru, termasuk metode serangan TCP_XMAS.

Zerobot menyebar melalui serangan brute force terhadap perangkat yang tidak aman dengan kredensial default atau lemah dan mengekploitasi kerantanan di perangkat Internet of Things (IoT) dan aplikasi web.

Setelah menginfeksi sistem, ia mengunduh skrip bernama “nol” yang memungkinkannya menyebar sendiri ke perangkat yang lebih rentan yang terpapar secara online.

Botnet mendapatkan kegigihan dari perangkat yang dikompromikan, dan digunakan untuk meluncurkan serangan DDoS melalui berbagai protokol, tetapi juga dapat memberi operatornya akses awal ke jaringan korban.

sumber : bleeping computer

Botnet KmsdBot Diduga Digunakan sebagai Layanan DDoS-untuk-Disewa

by

Analisis berkelanjutan dari botnet KmsdBot telah meningkatkan kemungkinan bahwa ini adalah layanan DDoS-untuk-disewa yang ditawarkan kepada pelaku ancaman lainnya.

KmsdBot adalah malware berbasis Go yang memanfaatkan SSH untuk menginfeksi sistem dan melakukan aktivitas seperti penambangan cryptocurrency dan meluncurkan perintah menggunakan TCP dan UDP untuk memasang serangan denial-of-service (DDoS) terdistribusi.

Menurut perusahaan infrastruktur web Akamai, analisis botnet KmsdBot ini didasarkan pada berbagai industri dan geografi yang diserang.

Mayoritas korban berada di Asia, Amerika Utara, dan Eropa. Beberapa target penting termasuk FiveM dan RedM, merupakan modifikasi game untuk Grand Theft Auto V dan Red Dead Redemption 2, serta merek-merek mewah dan perusahaan keamanan.

Analisis berkelanjutan menunjukkan kemungkinan bahwa ini adalah layanan DDoS-untuk-menyewa yang ditawarkan kepada pelaku ancaman lainnya.

Akamai mengidentifikasi 18 perintah berbeda yang diterima KmsdBot dari server jarak jauh, salah satunya, dijuluki “bigdata”, melayani pengiriman paket sampah yang berisi data dalam jumlah besar ke target dalam upaya menghabiskan bandwidthnya.

Pemetaan upaya infeksi botnet menandakan aktivitas minimal di wilayah Rusia dan wilayah tetangga, berpotensi menawarkan petunjuk tentang asal-usulnya.

Menurut Cashdollar, terdapat temuan upaya infeksi sekitar 24-48 jam setelah bot mati dan kemudian perintah serangan mulai masuk lagi sekitar 24 jam setelah itu. Namun, C2 terakhir yang diketahui tampaknya null dialihkan dan botnya diam.

Temuan ini muncul seminggu setelah Microsoft merinci botnet lintas platform yang dikenal sebagai MCCrash yang hadir dengan kemampuan untuk melakukan serangan DDoS terhadap server pribadi Minecraft.

Selengkapnya: The Hacker News

Tagged With: DDoS, Malware,

MCCrash: Botnet DDoS lintas platform menargetkan server pribadi Minecraft

by

Tim peneliti Pertahanan Microsoft untuk IoT baru-baru ini menganalisis botnet lintas platform yang berasal dari unduhan perangkat lunak berbahaya di perangkat Windows dan berhasil menyebar ke berbagai perangkat berbasis Linux.

Botnet menyebar dengan menyebutkan kredensial default pada perangkat yang mendukung Secure Shell (SSH) yang terpapar internet. Karena perangkat IoT biasanya diaktifkan untuk konfigurasi jarak jauh dengan pengaturan yang berpotensi tidak aman, perangkat ini dapat berisiko terkena serangan seperti botnet ini.

Mekanisme penyebaran botnet menjadikannya ancaman yang unik, karena meskipun malware dapat dihapus dari PC sumber yang terinfeksi, ia dapat bertahan di perangkat IoT yang tidak dikelola di jaringan dan terus beroperasi sebagai bagian dari botnet.

Microsoft melacak klaster aktivitas ini sebagai DEV-1028, botnet lintas platform yang menginfeksi perangkat Windows, perangkat Linux, dan perangkat IoT. Botnet DEV-1028 diketahui meluncurkan serangan denial of service (DDoS) terdistribusi terhadap server pribadi Minecraft.

Analisis peneliti terhadap botnet DDoS mengungkapkan fungsionalitas yang dirancang khusus untuk menargetkan server pribadi Minecraft Java menggunakan paket yang dibuat, kemungkinan besar sebagai layanan yang dijual di forum atau situs darknet.

Jenis ancaman ini menekankan pentingnya memastikan bahwa organisasi mengelola, tetap up to date, dan memantau tidak hanya titik akhir tradisional tetapi juga perangkat IoT yang seringkali kurang aman.

Dalam postingan blog ini, kami membagikan detail tentang bagaimana botnet ini memengaruhi banyak platform, kemampuan DDoS-nya, dan rekomendasi bagi organisasi untuk mencegah perangkat mereka menjadi bagian dari botnet. Kami juga membagikan informasi versi server Minecraft kepada pemilik server pribadi untuk memperbarui dan memastikan mereka terlindungi dari ancaman ini.

Selengkapnya: Microsoft

Microsoft menemukan botnet Windows/Linux yang digunakan dalam serangan DDoS

by

Peneliti Microsoft telah menemukan botnet Windows-Linux hybrid yang menggunakan teknik yang sangat efisien untuk menghentikan server Minecraft dan melakukan serangan denial-of-service terdistribusi pada platform lain.

Dijuluki MCCrash, botnet menginfeksi mesin dan perangkat Windows yang menjalankan berbagai distribusi Linux untuk digunakan dalam serangan DDoS. Di antara perintah yang diterima perangkat lunak botnet adalah yang disebut ATTACK_MCCRASH. Perintah ini mengisi nama pengguna di halaman login server Minecraft dengan ${env:random payload dengan ukuran tertentu:-a}. String menghabiskan sumber daya server dan membuatnya macet.

“Penggunaan variabel env memicu penggunaan pustaka Log4j 2, yang menyebabkan konsumsi sumber daya sistem yang tidak normal (tidak terkait dengan kerentanan Log4Shell), menunjukkan metode DDoS yang spesifik dan sangat efisien,” tulis peneliti Microsoft. “Berbagai versi server Minecraft dapat terpengaruh.”

Saat ini, MCCrash di-hardcode untuk hanya menargetkan perangkat lunak server Minecraft versi 1.12.2. Teknik serangan, bagaimanapun, akan menurunkan server yang menjalankan versi 1.7.2 hingga 1.18.2, yang menjalankan sekitar setengah dari server Minecraft dunia. Jika malware diperbarui untuk menargetkan semua versi yang rentan, jangkauannya bisa lebih luas. Modifikasi di server Minecraft versi 1.19 mencegah serangan bekerja.

“Berbagai server Minecraft yang berisiko menyoroti dampak malware ini jika dikodekan secara khusus untuk memengaruhi versi di atas 1.12.2,” tulis peneliti Microsoft. “Kemampuan unik dari ancaman ini untuk memanfaatkan perangkat IoT yang seringkali tidak dipantau sebagai bagian dari botnet secara substansial meningkatkan dampaknya dan mengurangi peluang untuk terdeteksi.”

Selengkapnya: ars TECHNICA

Clop Ransomware Menggunakan Malware TrueBot Untuk Akses ke Jaringan

by

Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.

Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.

Infeksi truebot

silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare

Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.

Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).

Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.

Diagram Fungsi Truebot (Cisco Talos)

Alat eksfiltrasi data teleport baru

Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.

Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.

Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.

Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.

Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.

Aktivitas pasca-infeksi yang mengarah ke penerapan Clop (Cisco Talos)

Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,

Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.

sumber : bleeping computer