Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Mirai

Mirai

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

by

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Peringatan keamanan siber: Kelemahan Realtek membuat lusinan merek terkena serangan rantai pasokan

by

Sebuah cacat baru-baru ini diungkapkan dalam chipset dari perusahaan semikonduktor Taiwan Realtek sedang ditargetkan oleh botnet berdasarkan malware IoT lama, Mirai.

Perusahaan keamanan Jerman IoT Inspector melaporkan bahwa bug Realtek, dilacak sebagai CVE-2021-35395, memengaruhi lebih dari 200 produk Wi-Fi dan router dari 65 vendor, termasuk Asus, Belkin, China Mobile, Compal, D-Link, LG, Logitec, Netgear, ZTE, dan Zyxel.

Cacat ini terletak di perangkat pengembang perangkat lunak Realtek (SDK) dan saat ini sedang diserang dari kelompok yang menggunakan varian malware IoT, Mirai, yang dirancang untuk berfungsi pada perangkat dengan budget prosesor dan sedikit memori.

Jika serangan berhasil, penyerang akan mendapatkan kontrol penuh atas modul Wi-Fi dan akses root ke sistem operasi perangkat.

Serangan tersebut menyoroti kerentanan dalam rantai pasokan perangkat lunak yang diharapkan oleh Presiden AS Joe Biden dapat ditambal dengan miliaran dolar yang dijanjikan minggu ini oleh Microsoft dan Google.

Sementara Mirai menimbulkan beberapa ancaman terhadap informasi yang disimpan di perangkat seperti router, kerusakan yang lebih besar disebabkan oleh serangan penolakan layanan terdistribusi (DDoS) bertenaga tinggi di situs web yang menggunakan perangkat yang disusupi.

Realtek telah merilis tambalan, tetapi merek perangkat (OEM) perlu mendistribusikannya ke pengguna akhir pada perangkat yang, sebagian besar, tidak memiliki antarmuka pengguna, dan oleh karena itu tidak dapat digunakan untuk mengomunikasikan bahwa tambalan tersedia. Vendor perlu menganalisis firmware mereka untuk memeriksa keberadaan kerentanan.

Selengkapnya: ZDNet

Bug yang dieksploitasi secara aktif melewati otentikasi pada jutaan router

by

Pelaku ancaman secara aktif mengeksploitasi kerentanan bypass otentikasi kritis yang memengaruhi router rumah dengan firmware Arcadyan untuk mengambil alih dan menyebarkan muatan berbahaya botnet Mirai.

Kerentanan yang dilacak sebagai CVE-2021-20090 adalah kerentanan traversal jalur kritis (diberi peringkat 9.9/10) di antarmuka web router dengan firmware Arcadyan yang dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mem-bypass otentikasi.

Serangan yang sedang berlangsung ditemukan oleh peneliti Juniper Threat Labs saat memantau aktivitas aktor ancaman yang dikenal menargetkan jaringan dan perangkat IoT sejak Februari.

Perangkat yang rentan termasuk lusinan model router dari beberapa vendor dan ISP, termasuk Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, dan Telus.

Berdasarkan jumlah model router dan daftar panjang vendor yang terkena dampak bug ini, jumlah total perangkat yang terkena serangan kemungkinan mencapai jutaan router.

Cacat keamanan ditemukan oleh Tenable, yang menerbitkan penasihat keamanan pada 26 April dan menambahkan bukti konsep kode eksploitasi pada Selasa, 3 Agustus.

Sejak Kamis, Juniper Threat Labs “mengidentifikasi beberapa pola serangan yang mencoba mengeksploitasi kerentanan ini di alam liar yang berasal dari alamat IP yang terletak di Wuhan, provinsi Hubei, Cina.”

Pelaku ancaman di balik aktivitas eksploitasi yang sedang berlangsung ini menggunakan alat berbahaya untuk menyebarkan varian botnet Mirai, serupa dengan yang digunakan dalam kampanye Mirai yang menargetkan perangkat IoT dan keamanan jaringan, yang ditemukan oleh peneliti Unit 42 pada bulan Maret.

Selengkapnya: Bleeping Computer

Malware botnet ZHtrap baru menyebarkan honeypots untuk menemukan lebih banyak target

by

Sebuah botnet baru memburu dan mengubah router, DVR, dan perangkat jaringan UPnP yang terinfeksi menjadi honeypots yang membantunya menemukan target lain untuk diinfeksi.

Malware tersebut, yang dijuluki ZHtrap oleh peneliti keamanan 360 Netlab, didasarkan pada kode sumber Mirai, dan dilengkapi dengan dukungan untuk x86, ARM, MIPS, dan arsitektur CPU lainnya.

Setelah mengambil alih perangkat, ZHtrap mencegah malware lain menginfeksi kembali botnya dengan bantuan whitelist yang hanya memungkinkan proses sistem yang sudah berjalan, memblokir semua upaya untuk menjalankan perintah baru.

Kemampuan utama botnet termasuk serangan DDoS dan pemindaian perangkat yang lebih rentan untuk terinfeksi. Namun, itu juga dilengkapi dengan fungsi backdoor yang memungkinkan operator untuk mengunduh dan mengeksekusi muatan berbahaya tambahan.

Untuk menyebarkan, ZHtrap menggunakan eksploitasi yang menargetkan empat kerentanan keamanan N-day di endpoint Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, dan daftar panjang perangkat CCTV-DVR.

Itu juga memindai perangkat dengan kata sandi Telnet yang lemah dari daftar alamat IP yang dibuat secara acak dan dikumpulkan dengan bantuan honeypot yang disebarkannya pada perangkat yang sudah terjerat dalam botnet.

Sumber: 360 Netlab

Selengkapnya: Bleeping Computer

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Hacker menyusup ke sistem kontraktor FSB dan membocorkan detail tentang proyek peretasan IoT

by

Kelompok peretas Digital Revolution yang berasal dari Rusia membocorkan rincian tentang proyek “Fronton”, sebuah proyek yang ditujukan untuk meretas perangkat Internet of Things (IoT), yang diduga dibangun oleh kontraktor untuk FSB, badan intelijen Rusia. Grup ini menerbitkan 12 dokumen teknis, diagram, dan fragmen kode dari proyek tersebut. 

 

Berdasarkan waktu yang tercatat pada file, proyek tersebut tampaknya telah disatukan pada tahun 2017 dan 2018. Dokumen-dokumen tersebut sangat mengacu dan mengambil inspirasi dari Mirai, sebuah strain malware IoT yang digunakan untuk membangun botnet IoT besar pada akhir 2016, yang kemudian digunakan untuk meluncurkan serangan DDoS yang sangat efektif terhadap berbagai target, dari ISP hingga penyedia layanan internet inti.

 

Dokumen-dokumen tersebut adalah usulan untuk membangun botnet IoT yang sama agar tersedia untuk FSB. Sesuai spesifikasinya, botnet Fronton akan dapat melakukan serangan kamus kata sandi terhadap perangkat IoT yang masih menggunakan login default pabrik dan kombinasi username-password yang umum. Setelah serangan kata sandi berhasil, perangkat akan dijadikan botnet.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet