Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Botnet

Botnet

Botnet HEH baru dapat menghapus router dan perangkat IoT

by

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Serangan DDoS semakin kuat karena penyerang mengubah taktik

by

Ada lonjakan serangan Distributed Denial of Service (DDoS) sepanjang tahun ini, dan serangan tersebut semakin kuat dan mengganggu.

Serangan DDoS diluncurkan terhadap situs web atau layanan web dengan tujuan mengganggu mereka sampai mematikan layanannya. Penyerang mengarahkan lalu lintas dari pasukan botnet yang terdiri dari ratusan ribu PC, server, dan perangkat lain yang terhubung ke internet yang telah mereka kendalikan melalui malware menuju target, dengan tujuan untuk membuatnya kewalahan.

Sebuah serangan dapat berlangsung hanya beberapa detik, atau jam atau hari dan mencegah pengguna yang sah mengakses layanan online.

Sebuah laporan intelijen ancaman baru oleh perusahaan keamanan siber Netscout menunjukkan bahwa penjahat siber telah meluncurkan lebih banyak serangan DDoS daripada sebelumnya karena adanya pandemi coronavirus ini. Perusahaan mengatakan telah mengamati 4,83 juta serangan DDoS pada paruh pertama tahun 2020, naik 15% dibandingkan dengan 2019.

Kabar buruknya adalah bahwa serangan DDoS juga semakin besar, dengan potensi serangan terkuat naik 2.851% sejak 2017 – memberi penyerang kemampuan untuk melumpuhkan jaringan jauh lebih cepat daripada sebelumnya.

Alasan serangan DDoS semakin kuat adalah karena serangan itu semakin kompleks, menggunakan berbagai jenis perangkat dan menargetkan berbagai bagian jaringan korban.

Salah satu elemen yang membantu serangan siber di balik botnet untuk serangan DDoS adalah banyak kode sumbernya tersedia secara gratis. Kasus paling terkenal dari ini adalah Mirai botnet, yang menyerang banyak layanan online pada akhir 2016. Kode sumber untuk Mirai dipublikasikan secara online dan telah berfungsi sebagai tulang punggung yang populer untuk membangun botnet sejak saat itu.

Meningkatnya jumlah perangkat yang terhubung juga berfungsi untuk meningkatkan potensi kekuatan botnet; tidak hanya penyerang dapat mengendalikan PC dan server yang tidak aman sebagai bagian dari serangan, tetapi peningkatan perangkat Internet of Things (IoT) – yang terhubung ke internet dan seringkali memiliki protokol keamanan minim atau tanpa protokol keamanan samasekali – dapat digunakan untuk memperkuat serangan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Prancis, Jepang, Selandia Baru memperingatkan lonjakan dalam serangan Emotet

by

Agen keamanan siber dari Prancis, Jepang, dan Selandia Baru telah menerbitkan peringatan keamanan selama seminggu terakhir yang memperingatkan tentang peningkatan besar dalam serangan malware Emotet yang menargetkan masing-masing negara.

Aktivitas Emotet yang dijelaskan dalam peringatan mengacu pada kampanye spam email yang berasal dari infrastruktur Emotet dan perusahaan yang ditargetkan serta lembaga pemerintah di tiga negara.

Joseph Roosen, anggota Cryptolaemus, kelompok peneliti keamanan yang melacak kampanye malware Emotet, mengatakan kepada ZDNet bahwa botnet Emotet sangat aktif dalam beberapa pekan terakhir, dan terutama aktif di tiga negara.

Menurut ketiga peringatan tersebut, serangannya tampak sama.

Operator emotet menggunakan trik lama mereka untuk menginfeksi satu korban dan kemudian mencuri utas email lama. Grup kemudian akan menghidupkan kembali percakapan lama ini, menambahkan file berbahaya sebagai lampiran, dan menargetkan pengguna baru dengan percakapan yang terlihat sah.

Pengguna di percakapan, atau yang ditambahkan, akan sering membuka lampiran file berbahaya yang ditambahkan ke utas email karena penasaran dan terinfeksi.

Tim analis Naga Cyber Defense sendiri telah berhasil mendeteksi adanya malware Emotet di Indonesia. Kami sangat menyarankan untuk cek alamat email pengirim dahulu sebelum membuka dan mengunduh sebuah lampiran pada email.

 
Source: ZDNet

Botnet Emotet telah mulai menggunakan template ‘Red Dawn’ baru

by

Trojan Emotet yang telah berbulan-bulan tidak aktif telah melonjak kembali pada bulan Juli dengan kampanye spam besar-besaran baru yang menargetkan pengguna di seluruh dunia.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware Emotet digunakan dalam kampanye spam baru bertema COVID19.

Kampanye spam baru-baru ini menggunakan pesan dengan dokumen Word berbahaya, atau tautan ke sana, berpura-pura menjadi faktur, informasi pengiriman, informasi COVID-19, resume, dokumen keuangan, atau dokumen yang telah discan.

Setelah membuka dokumen, mereka akan meminta pengguna untuk ‘Mengaktifkan Konten’ untuk menjalankan makro tersemat yang berbahaya yang akan memulai proses infeksi.

Untuk mengelabui pengguna agar mengaktifkan makro, operator botnet Emotet menggunakan template dokumen yang memberi tahu mereka bahwa dokumen tersebut dibuat di iOS dan tidak dapat dilihat dengan benar kecuali tombol ‘Aktifkan Konten’ diklik.

“Pada 25 Agustus, botnet beralih ke templat baru yang oleh pakar Emotet Joseph Roosen dinamai ‘Red Dawn’ karena warna aksen merahnya.” BleepingComputer melaporkan.

Template Red Dawn menampilkan pesan “Dokumen ini dilindungi” dan memberi tahu pengguna bahwa pratinjau tidak tersedia dalam upaya untuk mengelabui mereka agar mengklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk mengakses konten.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Security Affairs

Emotet Mencuri Lampiran Email Anda Untuk Menghindari Deteksi Antivirus

by

Setelah lebih dari lima bulan tidak aktif, Emotet melanjutkan operasinya pada 17 Juli dan sejak itu, botnet Emotet telah mengirimkan email spam berbahaya yang disamarkan sebagai laporan pembayaran, faktur, peluang kerja dan informasi pengiriman melalui semua cluster servernya.

Menggunakan lampiran yang dicuri untuk membuat email jahatnya tampak lebih sah tentu merupakan taktik yang cerdas dan solusi keamanan email kemungkinan akan lebih sulit membedakan antara email nyata dan email spam menggunakan lampiran yang sah sebagai penyamaran.

Sekarang setelah Emotet memperbarui taktiknya untuk menghindari deteksi dan menyerang lebih banyak pengguna, organisasi dan individu harus ekstra hati-hati saat memeriksa email mereka dan menghindari membuka lampiran dari pengirim yang tidak dikenal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Botnet Prometei Mengeksploitasi Windows SMB Untuk Menambang Cryptocurrency

by

Botnet baru telah ditemukan mengeksploitasi protokol Microsoft Windows SMB untuk bergerak secara lateral melintasi sistem sementara secara diam-diam menambang cryptocurrency.

Diberi nama Prometei, Cisco Talos menjelaskan bahwa malware ini telah beroperasi sejak Maret 2020.

Rantai infeksi Prometei dimulai dengan upaya mengkompromikan protokol Windows Server Message Block (SMB) pada suatu mesin melalui kerentanan SMB termasuk Eternal Blue. Permintaan C2 Prometei telah terdeteksi dari negara-negara termasuk AS, Brasil, Turki, Cina, dan Meksiko.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet