Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Botnet

Botnet

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

by

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Botnet emotet beralih ke modul 64-bit, meningkatkan aktivitas

by

Malware Emotet mengalami ledakan distribusi dan kemungkinan akan segera beralih ke muatan baru yang saat ini terdeteksi oleh lebih sedikit mesin antivirus.

Peneliti keamanan yang memantau botnet mengamati bahwa email yang membawa muatan berbahaya bulan lalu telah meningkat sepuluh kali lipat.

Emotet adalah trojan modular yang menyebar sendiri yang dapat mempertahankan kegigihan pada host. Ini digunakan untuk mencuri data pengguna, melakukan pengintaian jaringan, bergerak secara lateral, atau menjatuhkan muatan tambahan seperti Cobalt Strike dan ransomware pada khususnya.

Menurut laporan yang dirilis Kaspersky hari ini, aktivitas Emotet mengalami peningkatan tajam dari Februari hingga Maret, dari 3.000 menjadi 30.000 email.

Bahasa yang digunakan dalam pesan ini termasuk Inggris, Prancis, Hongaria, Italia, Norwegia, Polandia, Rusia, Slovenia, Spanyol, dan Cina.

Untuk tema, distributor Emotet dikenal sering mengganti topik untuk memanfaatkan kecepatan minat musiman. Kali ini perayaan Paskah yang mereka manfaatkan.

Check Point juga merilis sebuah laporan, yang menempatkan Emotet sebagai malware nomor satu paling umum dan aktif pada Maret 2022.

Email emotet menggunakan umpan Paskah dalam banyak bahasa
(Check Point)

Kaspersky menyebutkan bahwa kampanye distribusi email Emotet yang sedang berlangsung juga menggunakan trik pembajakan utas diskusi, terlihat dalam kampanye Qbot yang ditautkan ke operator yang sama.

Karena pelaku ancaman memiliki akses ke korespondensi sebelumnya, cukup mudah bagi mereka untuk menunjukkan lampiran sebagai sesuatu yang diharapkan penerima sebagai kelanjutan dari diskusi dengan rekan kerja.

Kelompok peneliti keamanan Cryptolaemus, yang mengawasi aktivitas botnet Emotet, mengatakan bahwa operator malware juga telah beralih ke modul pemuat dan pencuri 64-bit pada Epoch 4, salah satu subkelompok botnet yang berjalan pada infrastruktur terpisah. Sebelumnya, itu mengandalkan kode 32-bit.

#Emotet Update – Sekitar pukul 14:00 UTC hari ini 2022/04/18 – Emotet di Epoch 4 telah beralih menggunakan modul pemuat dan pencuri 64-bit. Sebelumnya semuanya 32-bit kecuali untuk kesalahan loader sesekali. 1/x— Cryptolaemus (@Cryptolaemus1) 19 April 2022
Peralihan tidak terlihat pada Epoch 5 tetapi penundaan diperkirakan terjadi, karena Epoch 4 biasanya berfungsi sebagai test-bed pengembangan untuk operator Emotet, kata peneliti dari Cryptolaemus.

Sumber : Bleeping Computer

Botnet Fodcha DDoS baru menargetkan lebih dari 100 korban setiap hari

by

Botnet yang berkembang pesat menjerat router, DVR, dan server di seluruh Internet untuk menargetkan lebih dari 100 korban setiap hari dalam serangan penolakan layanan (DDoS) terdistribusi.

Malware yang baru ditemukan ini, dinamai Fodcha oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), telah menyebar ke lebih dari 62.000 perangkat antara 29 Maret dan 10 April.

Jumlah alamat IP unik yang ditautkan ke botnet juga berosilasi, dengan 360 Netlab mengatakan bahwa mereka melacak 10.000 pasukan bot Fodcha menggunakan alamat IP China setiap hari, kebanyakan dari mereka menggunakan layanan China Unicom (59,9%) dan China Telecom (39,4%).

Bot langsung harian dengan alamat IP Cina (Netlab)

Fodcha menginfeksi perangkat baru menggunakan eksploitasi yang dirancang untuk menyalahgunakan kerentanan n-hari di beberapa perangkat dan alat cracking brute force yang dijuluki Crazyfia.

Daftar perangkat dan layanan yang ditargetkan oleh botnet Fodcha termasuk tetapi tidak terbatas pada:

  • Android: Android ADB Debug Server RCE
  • GitLab: CVE-2021-22205
  • SDK Hutan Realtek: CVE-2021-35394
  • MVPower DVR: JAWS Webserver eksekusi perintah shell yang tidak diautentikasi
  • LILIN DVR: LILIN DVR RCE
  • Router TOTOLINK: Router TOTOLINK Pintu Belakang
  • Router ZHONE: Router Web RCE ZHONE

Operator Fodcha menggunakan hasil pemindaian Crazyfia untuk menyebarkan muatan malware setelah berhasil mendapatkan akses ke sampel perangkat yang rentan terkena Internet di perangkat yang rentan.

Saat 360 Netlab ditemukan lebih lanjut, sampel botnet menargetkan MIPS, MPSL, ARM, x86, dan arsitektur CPU lainnya.

Sejak Januari 2022, botnet telah menggunakan domain fold[.]in command-and-control (C2) hingga 19 Maret saat beralih ke refrigeratorxperts[.]cc setelah vendor cloud menghapus domain C2 awal.

Sakelar domain Fodcha C2 (Netlab)

“Pergeseran dari v1 ke v2 adalah karena fakta bahwa server C2 yang sesuai dengan versi v1 dimatikan oleh vendor cloud mereka, jadi operator Fodcha tidak punya pilihan selain meluncurkan kembali v2 dan memperbarui C2,” para peneliti menyimpulkan.

“C2 baru dipetakan ke lebih dari selusin IP dan didistribusikan di beberapa negara termasuk AS, Korea, Jepang, dan India, melibatkan lebih banyak penyedia cloud seperti Amazon, DediPath, DigitalOcean, Linode, dan banyak lainnya.”

Selengkapnya : Bleeping Computer

Botnet DirtyMoe Mendapatkan Eksploitasi Baru di Modul Wormable untuk Menyebar dengan Cepat

by

Malware yang dikenal sebagai DirtyMoe telah memperoleh kemampuan propagasi seperti worm baru yang memungkinkannya memperluas jangkauannya tanpa memerlukan interaksi pengguna apa pun, menurut penelitian terbaru.

“Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa EternalBlue dan Hot Potato Windows,” kata peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.

“Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah.”

“Tujuan utama modul worming adalah untuk mencapai RCE di bawah hak administrator dan menginstal instance DirtyMoe baru,” jelas Chlumecký, menambahkan salah satu fungsi inti komponen adalah untuk menghasilkan daftar alamat IP yang akan diserang berdasarkan lokasi geologis modul.

Selain itu, modul worming dalam pengembangan lainnya ditemukan berisi eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.

“IP target worming dihasilkan menggunakan algoritme yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan terkait dengan lokasi geologis modul worming,” kata Chlumecký. “Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko.”

Selengkapnya: The Hacker News

Botnet Linux baru mengeksploitasi Log4J, menggunakan tunneling DNS untuk komunikasi

by

Botnet yang baru-baru ini ditemukan dalam pengembangan aktif menargetkan sistem Linux, mencoba menjerat mereka menjadi pasukan bot yang siap mencuri info sensitif, menginstal rootkit, membuat cangkang terbalik, dan bertindak sebagai proxy lalu lintas web.

Malware yang baru ditemukan, dijuluki B1txor20 oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), memfokuskan serangannya pada perangkat arsitektur CPU Linux ARM, X64.

Para peneliti pertama kali melihat botnet B1txor20 pada 9 Februari ketika sampel pertama terjebak oleh salah satu sistem honeypot mereka.

Secara keseluruhan, mereka menangkap total empat sampel malware, dengan backdoor, proxy SOCKS5, pengunduhan malware, pencurian data, eksekusi perintah arbitrer, dan fungsionalitas pemasangan rootkit.

Namun, yang membuat malware B1txor20 menonjol adalah penggunaan tunneling DNS untuk saluran komunikasi dengan server command-and-control (C2), teknik lama namun masih andal yang digunakan oleh pelaku ancaman untuk mengeksploitasi protokol DNS untuk melakukan tunnel malware dan data. melalui kueri DNS.

“Setelah menerima permintaan, C2 mengirimkan muatan ke sisi Bot sebagai tanggapan atas permintaan DNS. Dengan cara ini, Bot dan C2 mencapai komunikasi dengan bantuan protokol DNS.”

Peneliti 360 Netlab juga menemukan bahwa meskipun pengembang malware menyertakan serangkaian fitur yang lebih luas, tidak semuanya diaktifkan.

Informasi tambahan, termasuk indikator kompromi (IOCs) dan daftar semua instruksi C2 yang didukung, dapat ditemukan di akhir laporan 360 Netlab.

Gambar: 350 Netlab

“Sejak kerentanan Log4J terungkap, kami melihat semakin banyak malware yang muncul, Elknot, Gafgyt, Mirai semuanya terlalu familiar,” tambah peneliti 360 Netlab.

Misalnya, pada bulan Desember, mereka melihat pelaku ancaman mengeksploitasi kelemahan keamanan Log4J untuk menginfeksi perangkat Linux yang rentan dengan malware Mirai dan Muhstik Linux.

Botnet ini terlihat “merekrut” perangkat dan server IoT dan menggunakannya untuk menyebarkan penambang kripto dan melakukan serangan DDoS skala besar.

Barracuda mengkonfirmasi laporan 360 Netlan awal bulan ini, dengan mengatakan mereka melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, dengan varian botnet Mirai dimanfaatkan untuk DDoS dan cryptomining mengambil bagian terbesar.

Sumber : Bleeping Computer

Emotet Tumbuh Perlahan Tapi Pasti Sejak Kebangkitannya Di Bulan November

by

Botnet Emotet yang terkenal masih terus didistribusikan di alam liar, dan sekarang telah menginfeksi 130.000 sistem di 179 negara.

Aktivitas emotet berhenti pada 2019 saat versi utama keduanya beredar, dan malware baru kembali pada November 2021, dengan bantuan Trickbot.

Analis ancaman di lab Black Lotus telah memutuskan untuk mendalami “Epoch 3” Emotet untuk mengidentifikasi fitur baru dan memetakan pola distribusinya saat ini.

Seperti yang Anda bisa lihat di bawah, botnet Emotet mulai perlahan-lahan membuat ulang dirinya sendiri pada bulan November, melihat distribusi yang jauh lebih besar melalui kampanye phishing yang dimulai pada Januari 2022.

Sumber: Black Lotus

Kampanye Emotet baru juga menyertakan fitur seperti skema kriptografi kurva eliptik (ECC) baru yang menggantikan enkripsi RSA yang digunakan untuk perlindungan dan validasi lalu lintas jaringan.

Selain itu, pembuat malware kini telah menambahkan lebih banyak kemampuan pengumpulan info untuk profil sistem yang lebih baik, sedangkan sebelumnya, Emotet hanya akan mengirim kembali daftar proses yang berjalan.

Black Lotus melaporkan bahwa saat ini ada 200 C2 unik yang mendukung kebangkitan Emotet, dengan jumlah yang tumbuh perlahan tapi pasti. Jumlah hari aktivitas rata-rata untuk C2 saat ini adalah 29.

Sumber: Black Lotus

Seperti sebelumnya, sebagian besar infrastruktur C2 Emotet terletak di Amerika Serikat dan Jerman, diikuti oleh Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Sumber: Black Lotus

Dalam hal distribusi bot, fokusnya adalah di Jepang, India, Indonesia, Thailand, Afrika Selatan, Meksiko, Amerika Serikat, China, Brasil, dan Italia.

Sumber: Black Lotus

Analis ancaman percaya bahwa alasan untuk tiga negara pertama yang menempati urutan teratas daftar ini adalah jumlah mesin Windows yang ketinggalan jaman dan dengan demikian rentan di wilayah tersebut.

Salinan Windows bajakan yang dengan sengaja memutuskan konektivitasnya ke server pembaruan Microsoft tetap rentan terhadap serangan malware seperti milik Emotet.

Selengkapnya: Bleeping Computer

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

by

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Botnet Dark Mirai menargetkan RCE pada router TP-Link yang populer

by

Botnet yang dikenal sebagai Dark Mirai (alias MANGA) telah diamati mengeksploitasi kerentanan baru pada TP-Link TL-WR840N EU V5, router rumah murah populer yang dirilis pada tahun 2017.

Cacat dilacak sebagai CVE-2021-41653 dan disebabkan oleh variabel ‘host’ yang rentan yang dapat disalahgunakan oleh pengguna yang diautentikasi untuk menjalankan perintah pada perangkat.

TP-Link memperbaiki kekurangan tersebut dengan merilis pembaruan firmware (TL-WR840N(EU)_V5_211109) pada 12 November 2021. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan.

Peneliti yang menemukan kerentanan menerbitkan eksploitasi bukti konsep (PoC) untuk RCE, yang mengarah ke aktor ancaman menggunakan kerentanan.

Menurut sebuah laporan oleh para peneliti di Fortinet, yang telah mengikuti aktivitas Dark Mirai, botnet menambahkan RCE tertentu di gudang senjatanya hanya dua minggu setelah TP-Link merilis pembaruan firmware.

Mirai mungkin hilang, tetapi kodenya telah melahirkan banyak botnet baru yang menyebabkan masalah skala besar pada perangkat yang tidak aman.

Selengkapnya: Bleeping Computer