Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Botnet

Botnet

Berikut cara kerja modul malware Emotet dari penegak hukum

by

Penelitian baru yang baru saja dirilis memberikan wawasan yang lebih luas mengenai modul Emotet yang dibuat oleh penegak hukum yang akan menghapus malware dari perangkat yang terinfeksi pada bulan April.

Pada 27 Januari, Europol mengumumkan bahwa operasi gabungan antara lembaga penegak hukum dari Belanda, Jerman, Amerika Serikat, Inggris Raya, Prancis, Lituania, Kanada, dan Ukraina mengambil alih server botnet Emotet dan mengganggu operasi malware.

Setelah penghapusan, para peneliti melihat bahwa botnet Emotet mulai menekan modul ke perangkat yang terinfeksi yang akan menghapus malware pada 25 April 2021, pukul 12:00.

Pada tanggal 28, telah dikonfirmasi dalam siaran pers Departemen Kehakiman AS bahwa “penegak hukum asing” yang membuat modul ini.

Mengapa pencopotan pemasangan terjadi dua bulan lagi, dan apa yang terjadi sebelum tanggal pencopotan 25 April 2021?. Sebuah analisis baru oleh Jérôme Segura dan hasherezade dari Malwarebytes menjawab beberapa pertanyaan ini.

Modul Emotet baru yang didistribusikan oleh penegak hukum Jerman adalah DLL 32-bit bernama ‘EmotetLoader.dll.’

Sumber: Malwarebytes

Saat menghapus Emotet, Malwarebytes menyatakan uninstaller hanya menghapus layanan Windows yang terkait, menghapus kunci Registry autorun, dan kemudian keluar dari proses.

Di sisi lain, sebelum 25 April 2021, modul memungkinkan penginstalan Emotet pada suatu perangkat.

Namun, perbedaannya adalah bahwa server perintah dan kontrol Emotet sekarang dikonfigurasi untuk menggunakan server penegakan hukum yang berlokasi di Jerman. Karena penegak hukum mengontrol botnet, Emotet tidak akan mengunduh modul lebih lanjut ke PC yang terinfeksi untuk melakukan aktivitas berbahaya.

Malwarebytes menyatakan bahwa modul baru ini akan dipasang ke semua perangkat yang terinfeksi, secara efektif menggantikan penginstalan Emotet berbahaya yang sudah menginfeksi komputer mereka.

Selengkapnya: Bleeping Computer

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

by

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Bot China memiliki peran kunci dalam video pemungutan suara yang dibantah yang dibagikan oleh Eric Trump

by

Jaringan bot China memainkan peran kunci dalam menyebarkan disinformasi selama dan setelah pemilu AS, termasuk video “pembakaran surat suara” yang dibantah yang dibagikan oleh Eric Trump, sebuah studi baru mengungkapkan.

Video menyesatkan tersebut menunjukkan seorang pria yang merekam dirinya sendiri di Pantai Virginia, diduga membakar suara untuk Donald Trump. Surat suara sebenarnya adalah sampel. Klip itu menjadi viral setelah putra Trump, Eric, mempostingnya sehari kemudian di halaman Twitter resminya, di mana video itu ditonton lebih dari 1,2 juta kali.

Video tersebut diyakini berasal dari akun yang terkait dengan teori konspirasi QAnon. Tetapi studi oleh Universitas Cardiff menemukan dua akun terkait China telah membagikan video tersebut sebelum ini. Twitter sejak itu menangguhkan salah satunya.

selengkapnya :TheGuardian

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

by

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

by

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Sumber: BleepingComputer

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Perangkat FiberHome Memiliki Backdoor, Memungkinkan untuk Membuat Botnet Baru

by

FiberHome, pembuat ONT FTTH Cina mengalami beberapa kerentanan dalam dua model perangkat mereka.

Perangkat ini banyak digunakan di Asia Tenggara dan Amerika Selatan untuk konektivitas internet. Selain kerentanan umum, ada sekitar 28 backdoor yang ditemukan di perangkat, yang dapat membantu peretas menambahkannya menjadi botnet.

Minggu lalu, seorang peneliti keamanan bernama Pierre Kim telah menunjukkan beberapa kerentanan, termasuk 28 backdoor di FiberHome HG6245D dan model FiberHome RP2602 dari FiberHome ONT.

Semua ini di-hardcode ke dalam firmware perangkat, membuatnya sulit untuk dihapus dengan mudah dan menyalahkan si pembuat karena sengaja menanamnya.

Selain itu, laporan keseimbangan peneliti mengatakan bahwa, bagus bahwa FiberHome telah menonaktifkan fitur manajemen Telnet secara default dan menutup panel manajemen melalui antarmuka eksternal IPv4.

Ini adalah jalur utama yang digunakan oleh peretas untuk masuk ke perangkat dan menambahkannya ke jaringan botnet mereka. Namun, pada saat yang sama, dia mengatakan bahwa FiberHome tidak memblokir akses ke panel manajemen ini melalui antarmuka IPv6, yang memungkinkan peretas melewati panel web hanya dengan mengetahui alamat IPv6 perangkat!

Dia melaporkan hal ini pada Januari tahun lalu ke FiberHome dan tidak tahu apakah OEM telah memperbaiki salah satu kerentanan ini atau belum, karena dia tidak memeriksa versi terbaru dari model tersebut. Tapi, dia menulis daftar semua kerentanan yang ditemukan di blognya

Sumber: Techdator

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

by

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

by

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

  • Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
  • Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
  • Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
  • Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Sumber: AdvIntel

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet