Botnet

Kerentanan Oracle yang menjalankan kode berbahaya sedang aktif dieksploitasi

December 2, 2020 by Mally

Penyerang menargetkan kerentanan Oracle WebLogic yang baru-baru ini ditambal. Kerentanan ini memungkinkan mereka mengeksekusi kode yang mereka inginkan, termasuk malware yang menjadikan server bagian dari botnet yang mencuri kata sandi dan informasi sensitif lainnya.

WebLogic adalah aplikasi enterprise Java yang mendukung berbagai database. Server WebLogic adalah hadiah yang didambakan oleh para peretas, yang sering menggunakannya untuk menambang cryptocurrency, memasang ransomware, atau sebagai jalan masuk untuk mengakses bagian lain dari jaringan perusahaan.

Dilacak sebagai CVE-2020-14882, ini adalah kerentanan kritis yang ditambal Oracle pada bulan Oktober tahun ini. Ini memungkinkan penyerang untuk mengeksekusi kode berbahaya melalui Internet dengan sedikit usaha atau keterampilan dan tanpa otentikasi. Kode eksploitasi tersedia untuk umum delapan hari setelah Oracle mengeluarkan tambalan.

Menurut Paul Kimayong, seorang peneliti di Juniper Networks, peretas secara aktif menggunakan lima variasi serangan berbeda untuk mengeksploitasi server yang masih rentan terhadap CVE-2020-14882.

Di antara variasinya adalah salah satu yang menginstal bot DarkIRC. Setelah terinfeksi, server menjadi bagian dari botnet yang dapat menginstal malware pilihannya, menambang cryptocurrency, mencuri kata sandi, dan melakukan serangan denial-of-service.

Varian exploit lainnya memasang payload lain seperti, Serangan Cobalt, Perlbot, Penafsir meteran, Mirai.

CVE-2020-14882 memengaruhi versi WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Siapa pun yang menggunakan salah satu versi ini harus segera menginstal patch yang dikeluarkan Oracle pada bulan Oktober. Orang-orang juga harus menambal CVE-2020-14750, kerentanan terpisah namun terkait yang diperbaiki Oracle dalam pembaruan darurat dua minggu setelah menerbitkan tambalan untuk CVE-2020-14882.

Sumber: Ars Technica

Malware Linux Stantinko sekarang berperan sebagai server web Apache

November 26, 2020 by Mally

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet

Botnet secara diam-diam telah memindai internet secara massal untuk mencari file ENV yang tidak aman

November 22, 2020 by Mally

Beberapa pelaku ancaman telah menghabiskan dua-tiga tahun terakhir memindai internet secara massal untuk mencari file ENV yang tidak sengaja diunggah dan dibiarkan terbuka di server web.

File ENV, atau file lingkungan, adalah jenis file konfigurasi yang biasanya digunakan oleh alat pengembangan. Kerangka kerja seperti Docker, Node.js, Symfony, dan Django menggunakan file ENV untuk menyimpan variabel lingkungan, seperti token API, kata sandi, dan login database. Karena sifat data yang disimpannya, file ENV harus selalu disimpan di folder yang dilindungi.

“Saya membayangkan botnet sedang memindai file-file ini untuk menemukan kredensial tersimpan yang memungkinkan penyerang berinteraksi dengan database seperti Firebase, atau instance AWS, dll.,” Daniel Bunce, Principal Security Analyst for SecurityJoes, mengatakan kepada ZDNet. “Jika penyerang bisa mendapatkan akses ke kunci API pribadi, mereka dapat menyalahgunakan perangkat lunak,” tambah Bunce.

Pelaku ancaman yang mengidentifikasi file ENV pada akhirnya akan mengunduh file tersebut, mengekstrak kredensial sensitif apa pun, dan kemudian membobol infrastruktur backend perusahaan. Tujuan akhir dari serangan selanjutnya ini bisa apa saja mulai dari pencurian kekayaan intelektual dan rahasia bisnis, hingga serangan ransomware, atau pemasangan malware penambangan kripto yang tersembunyi.

sumber : ZDNET

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

November 10, 2020 by Mally

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

Botnet KashmirBlack diyakini sebagai botnet di balik serangan siber pada WordPress, Joomla, Drupal, dan lainnya

October 27, 2020 by Mally

Botnet yang sangat canggih diyakini telah menginfeksi ratusan ribu situs web dengan menyerang platform sistem manajemen konten (CMS) yang mendasarinya.

Dinamakan KashmirBlack, botnet ini mulai beroperasi pada November 2019.

Peneliti keamanan dari Imperva —yang menganalisis botnet minggu lalu— mengatakan tujuan utama botnet tampaknya untuk menginfeksi situs web dan kemudian menggunakan server mereka untuk penambangan mata uang kripto, mengarahkan lalu lintas sah situs ke halaman spam, dan ke derajat yang lebih rendah, menunjukkan adanya perusakan web.

Imperva mengatakan botnet ini awalnya kecil, tetapi setelah berbulan-bulan pertumbuhan konstan, telah berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.

Saat ini, KashmirBlack “dikelola oleh satu server C&C (Command and Control) dan menggunakan lebih dari 60 – kebanyakan pengganti yang tidak bersalah – server sebagai bagian dari infrastrukturnya,” kata Imperva.

KashmirBlack berkembang dengan memindai internet untuk situs-situs yang menggunakan perangkat lunak usang dan kemudian menggunakan eksploitasi untuk mengetahui kerentanan yang diketahui menginfeksi situs dan server yang mendasarinya.

Sejak November 2019, Imperva mengatakan telah melihat 16 kerentanan yang disalahgunakan oleh botnet ini.

Berdasarkan beberapa petunjuk yang ditemukan, peneliti Imperva mengatakan mereka yakin botnet itu adalah karya seorang peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

October 21, 2020 by Mally

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Mally

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

October 14, 2020 by Mally

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Botnet

Cookies Settings