Seorang pembuat malware telah membangun 18.000 botnet yang kuat dalam rentang hanya satu hari.

Botnet baru ini ditemukan oleh peneliti keamanan dari NewSky Security, dan temuan mereka telah dikonfirmasi oleh Qihoo 360 Netlab, Rapid7, dan Greynoise.

Botnet dibangun hanya dengan satu eksploit

Botnet telah dibangun dengan mengeksploitasi kerentanan pada router Huawei HG532, yang dilacak sebagai CVE-2017-17215.

Pemindaian untuk kerentanan ini, yang dapat dieksploitasi melalui port 37215, mulai pada pagi tanggal 18 Juli, menurut data yang dikumpulkan oleh sistem NetScan Netlab.

Menjelang malam, peneliti keamanan NewSky, Ankit Anubhav mengatakan botnet telah mengumpulkan 18.000 router.

Anubhav mengatakan, pembuat botnet mengulurkan tangan kepadanya untuk membual tentang tindakannya, bahkan berbagi daftar dengan alamat IP dari semua korban botnet.

Pembuat botnet adalah aktor ancaman yang dikenal

Dalang dari botnet tersebut mengidentifikasi dirinya dengan nama samaran “Anarchy.” Menjawab pertanyaan dari Anubhav, Anarchy tidak memberikan alasan mengapa ia menciptakan botnet.

Tapi Anubhav percaya Anarchy mungkin benar-benar seorang hacker yang sebelumnya diidentifikasi sebagai Wicked, yang Anubhav wawancarai di blog NewSky dan Fortinet tampilkan dalam laporan di: https://www.fortinet.com/blog/threat-research/a-wicked-family-of-bots.html

Wicked/Anarchy adalah pembuat malware terkenal yang, di masa lalu, telah menciptakan variasi dari Mirai. Variasi ini dan botnet masing-masing dikenal sebagai Wicked, Omni, dan Owari (Sora), dan sebelumnya telah digunakan untuk serangan DDoS.

Botnet juga akan menargetkan router Realtek

Tetapi masalah sebenarnya di sini bukanlah pembuat malware yang melakukan apa yang terbaik untuknya. Masalahnya adalah kemudahan relatif dimana Anarchy membangun botnet raksasa dalam satu hari.

Dia tidak melakukannya dengan zero-day atau beberapa kerentanan yang belum pernah dieksploitasi sebelumnya. Dia melakukannya dengan kerentanan profil tinggi yang telah dimanfaatkan banyak botnet sebelumnya.

CVE-2017-17215 adalah kerentanan  yang telah disalahgunakan oleh setidaknya dua versi botnet Satori dan banyak dari cabang-cabang berbasis Mirai lainnya. Mungkin sebagian orang akan berpikir bahwa sekarang pengguna akan memiliki perangkat yang dipatch atau ISP akan memblokir koneksi masuk pada port 37215.

Tapi Anarchy belum selesai. Pembuat botnet mengatakan kepada Anubhav bahwa ia juga berencana untuk menargetkan CVE-2014-8361, kerentanan di router Realtek yang dieksploitasi melalui port 52869.

Pengujian telah dimulai untuk mengeksploitasi Realtek pada malam hari,” kata Anubhav. Dan sekarang, baik Rapid7 dan Greynoise mengkonfirmasi bahwa pemindaian untuk Realtek telah meluap.

IOC, milik NewSky Security dan CERT Tunisia:

  • SHA-256: 61440574aafaf3c4043e763dd4ce4c628c6c92fb7d7a2603076b3f60f2813f1b [Sumber]
  • C2: http[:]//104[.]244[.]72[.]82 [Sumber]

Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I'm a simple person who like code, security enthusiast, share knowledge, always learning new information about technology and cyber security. I'd like to think myself as an J-Pop, J-Rock, Rock, Deathcore, Electronicore, Metalcore, and Metal fan and use my choice of music for positive self-regulatory purposes. In addition, I am also a fan of Anime, Manga, and Light Novel from Japan.

Comments

error: Content is protected !!