Botnet

Botnet secara diam-diam telah memindai internet secara massal untuk mencari file ENV yang tidak aman

November 22, 2020 by Winnie the Pooh

Beberapa pelaku ancaman telah menghabiskan dua-tiga tahun terakhir memindai internet secara massal untuk mencari file ENV yang tidak sengaja diunggah dan dibiarkan terbuka di server web.

File ENV, atau file lingkungan, adalah jenis file konfigurasi yang biasanya digunakan oleh alat pengembangan. Kerangka kerja seperti Docker, Node.js, Symfony, dan Django menggunakan file ENV untuk menyimpan variabel lingkungan, seperti token API, kata sandi, dan login database. Karena sifat data yang disimpannya, file ENV harus selalu disimpan di folder yang dilindungi.

“Saya membayangkan botnet sedang memindai file-file ini untuk menemukan kredensial tersimpan yang memungkinkan penyerang berinteraksi dengan database seperti Firebase, atau instance AWS, dll.,” Daniel Bunce, Principal Security Analyst for SecurityJoes, mengatakan kepada ZDNet. “Jika penyerang bisa mendapatkan akses ke kunci API pribadi, mereka dapat menyalahgunakan perangkat lunak,” tambah Bunce.

Pelaku ancaman yang mengidentifikasi file ENV pada akhirnya akan mengunduh file tersebut, mengekstrak kredensial sensitif apa pun, dan kemudian membobol infrastruktur backend perusahaan. Tujuan akhir dari serangan selanjutnya ini bisa apa saja mulai dari pencurian kekayaan intelektual dan rahasia bisnis, hingga serangan ransomware, atau pemasangan malware penambangan kripto yang tersembunyi.

sumber : ZDNET

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

November 10, 2020 by Winnie the Pooh

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

Botnet KashmirBlack diyakini sebagai botnet di balik serangan siber pada WordPress, Joomla, Drupal, dan lainnya

October 27, 2020 by Winnie the Pooh

Botnet yang sangat canggih diyakini telah menginfeksi ratusan ribu situs web dengan menyerang platform sistem manajemen konten (CMS) yang mendasarinya.

Dinamakan KashmirBlack, botnet ini mulai beroperasi pada November 2019.

Peneliti keamanan dari Imperva —yang menganalisis botnet minggu lalu— mengatakan tujuan utama botnet tampaknya untuk menginfeksi situs web dan kemudian menggunakan server mereka untuk penambangan mata uang kripto, mengarahkan lalu lintas sah situs ke halaman spam, dan ke derajat yang lebih rendah, menunjukkan adanya perusakan web.

Imperva mengatakan botnet ini awalnya kecil, tetapi setelah berbulan-bulan pertumbuhan konstan, telah berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.

Saat ini, KashmirBlack “dikelola oleh satu server C&C (Command and Control) dan menggunakan lebih dari 60 – kebanyakan pengganti yang tidak bersalah – server sebagai bagian dari infrastrukturnya,” kata Imperva.

KashmirBlack berkembang dengan memindai internet untuk situs-situs yang menggunakan perangkat lunak usang dan kemudian menggunakan eksploitasi untuk mengetahui kerentanan yang diketahui menginfeksi situs dan server yang mendasarinya.

Sejak November 2019, Imperva mengatakan telah melihat 16 kerentanan yang disalahgunakan oleh botnet ini.

Berdasarkan beberapa petunjuk yang ditemukan, peneliti Imperva mengatakan mereka yakin botnet itu adalah karya seorang peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

October 21, 2020 by Winnie the Pooh

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

October 14, 2020 by Winnie the Pooh

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Botnet HEH baru dapat menghapus router dan perangkat IoT

October 7, 2020 by Winnie the Pooh

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

October 5, 2020 by Winnie the Pooh

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Botnet

Cookies Settings