Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Botnet

Botnet

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Multitool Kriminal LilithBot Hadir Di Kancah Malware-as-a-service

by

Kelompok ancaman yang berbasis di Rusia yang mendirikan toko distribusi malware awal tahun ini berada di belakang botnet yang dilengkapi dengan berbagai kemampuan jahat, mulai dari mencuri informasi hingga menambang cryptocurrency.

Itu menurut para peneliti di unit intelijen ancaman ThreatLabz Zscaler. Dikatakan grup Eternity – juga dikenal sebagai EternityTeam dan Eternity Project – menawarkan malware LilithBot multifungsi melalui grup Telegram khusus dan tautan Tor di mana penjahat dunia maya dapat memperoleh berbagai muatan melalui langganan.

Grup malware as a service (MaaS) telah aktif setidaknya sejak Januari, mendistribusikan berbagai modul di bawah merek Eternity yang – bersama dengan malware pencuri dan penambang – termasuk ransomware, bot distributed denial of service (DDoS), worm and dropper, dan clipper yang memalsukan alamat crypto di dompet, tulis para peneliti dalam sebuah laporan.

Beberapa kelompok ancaman beralih ke model as-a-service sebagai penghasil pendapatan utama mereka atau sebagai sumber pendapatan tambahan untuk melengkapi aktivitas jahat mereka yang lain. Tidak hanya mencakup MaaS tetapi juga ransomware dan access-as-a-service, di mana sebuah grup akan mendapatkan akses awal ke jaringan perusahaan dan kemudian menjual akses itu ke penjahat dunia maya lainnya.

Selengkapnya: The Register

Cyber Attacker ‘Traps’ mengungkapkan dampak aktivitas ancaman setelah invasi Rusia terhadap Ukraina

by

Peneliti Nozomi Networks telah menemukan bahwa wiper malware, aktivitas botnet IoT, dan invasi Rusia ke Ukraina telah berdampak besar pada lanskap ancaman dunia maya pada paruh pertama tahun 2022.

Data dari teknologi operasional terbaru (OT)/laporan keamanan IoT Jaringan Nozomi telah menunjukkan bahwa lanskap ancaman dunia maya melihat aktivitas dari beberapa jenis pelaku ancaman, termasuk peretas, ancaman persisten tingkat lanjut (APT), dan penjahat dunia maya sejak Rusia memulainya. invasi ke Ukraina pada Februari 2022.

Menurut Roya Gordon, penginjil penelitian keamanan OT/IoT Nozomi Networks, lanskap ancaman dunia maya tahun ini kompleks.

Peneliti Nozomi Networks juga mengamati penggunaan malware wiper yang kuat dan menyaksikan munculnya varian malware Industroyer, yang digunakan dalam serangan cyber di jaringan listrik Ukraina. Dijuluki Industroyer2, malware ini dikembangkan untuk menyalahgunakan protokol IEC-104, yang biasa digunakan di lingkungan industri.

Selama paruh pertama tahun 2022, aktivitas botnet IoT yang berbahaya juga meningkat dan semakin canggih.

Peneliti Nozomi Networks telah menyiapkan serangkaian pot madu untuk menarik botnet jahat ini yang bertujuan untuk menangkap aktivitas mereka guna memberikan wawasan tambahan tentang bagaimana pelaku ancaman menargetkan IoT. Melalui model penelitian ini, para peneliti Nozomi Networks menemukan masalah keamanan yang berkembang untuk kata sandi yang dikodekan secara keras dan antarmuka internet untuk kredensial pengguna akhir.

Dari Januari hingga Juni 2022, Honey Pot Nozomi Networks menemukan:

  • Maret adalah bulan paling aktif dengan hampir 5.000 alamat IP penyerang unik yang dikumpulkan.
  • Alamat IP penyerang teratas dikaitkan dengan China dan Amerika Serikat.
  • Kredensial “Root” dan “Admin” paling sering ditargetkan dan digunakan dalam berbagai variasi sebagai cara bagi pelaku ancaman untuk mengakses semua perintah sistem dan akun pengguna.
  • Manufaktur dan energi terus menjadi industri yang paling rentan menurut peneliti Nozomi Networks, diikuti oleh fasilitas kesehatan dan komersial.

Selama enam bulan pertama tahun 2022:

CISA merilis 560 kerentanan dan eksposur umum (CVE) – turun 14 persen dari paruh kedua tahun 2021.
Jumlah vendor yang terkena dampak naik 27 persen.
Produk yang terkena dampak juga naik 19 persen dari paruh kedua tahun 2021.

Ketika ancaman dunia maya terus berkembang, Gordon mencatat bahwa untungnya, pertahanan keamanan juga berkembang.

Sumber: Cybersecurity Connect

A.S., mitra membongkar ‘botnet’ peretasan Rusia, kata Departemen Kehakiman

by

Penegakan hukum di Amerika Serikat, Jerman, Belanda dan Inggris membongkar jaringan global perangkat yang terhubung ke internet yang telah diretas oleh penjahat cyber Rusia dan digunakan untuk tujuan jahat, Departemen Kehakiman AS mengatakan pada hari Kamis.

Jaringan, yang dikenal sebagai botnet “RSOCKS”, terdiri dari jutaan komputer dan perangkat yang diretas di seluruh dunia, termasuk gadget “Internet of Things” seperti router dan pembuka garasi pintar, kata departemen itu dalam sebuah pernyataan.

Pengguna RSOCKS membayar biaya antara $30 dan $200 per hari untuk merutekan aktivitas internet berbahaya melalui perangkat yang disusupi untuk menutupi atau menyembunyikan sumber lalu lintas yang sebenarnya, kata departemen tersebut.

“Diyakini bahwa pengguna layanan proxy jenis ini melakukan serangan skala besar terhadap layanan otentikasi, juga dikenal sebagai isian kredensial, dan menganonimkan diri mereka sendiri saat mengakses akun media sosial yang disusupi, atau mengirim email berbahaya, seperti pesan phishing,” itu dikatakan.

Beberapa entitas publik dan swasta besar telah menjadi korban RSOCKS, termasuk universitas, hotel, studio televisi dan produsen elektronik, kata departemen itu. Itu tidak menyebutkan salah satu dari mereka.

Selengkapnya: NBC News

Botnet peer-to-peer baru menginfeksi server Linux dengan cryptominers

by

Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.

Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.

Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.

Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.

Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”

Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.

Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.

Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.

Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.

Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.

Salam panel admin dengan konfigurasi saat ini (Akamai)

Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.

Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.

Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.

Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.

Peta panas rekan/korban Panchan (Akamai)

Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.

Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.

Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.

Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.

Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.

Sumber: Bleeping Computer

Malware EnemyBot menambahkan eksploitasi untuk VMware kritis, kelemahan F5 BIG-IP

by

EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.

Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.

Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.

Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.

Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.

Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:

  • CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
  • CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
  • CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Penambahan CVE-2022-22954 dalam kode EnemyBot (AT&T)

Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.

Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.

Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.

Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.

Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.

Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.

Sumber: Bleeping Computer