Peneliti keamanan di Bitfender telah menemukan ancaman botnet IoT baru yang dinamai “Dark Nexus (dark_nexus)”. Botnet IoT baru ini memanfaatkan perangkat pintar yang disusupi untuk melakukan serangan distributed denial-of-service (DDoS).
Botnet IoT dark_nexus bekerja dengan menggunakan serangan credential stuffing terhadap berbagai perangkat, seperti router (dari Dasan Zhone, D-Link, dan ASUS), perekam video, dan kamera termal untuk memasukan mereka ke dalam daftar botnet.
Sejauh ini, dark_nexus memiliki daftar bot sekitar 1.400, bertindak sebagai reverse proxy, yang menjangkau berbagai lokasi di Cina, Korea Selatan, Thailand, Brasil, dan Rusia.
Loading...
Reload document
Open in new tab Dark Nexus terinspirasi dari botnet Qbot dan Mirai
Melihat kesamaan dark_nexus dengan malware Qbot banking dan Mirai, peneliti Bitdefender mengatakan modul intinya “sebagian besar asli” dan sering diperbarui, dengan lebih dari 30 versi dirilis selama periode dari Desember 2019 hingga Maret 2020 (versi 4.0 hingga 8.6).
Infrastruktur terdiri dari beberapa server command-and-control (C2) (switchnets[.]net:30047 dan thiccnigga[.]me:30047), yang memberi perintah dari jarak jauh ke bot yang terinfeksi, dan server pelaporan yang menjadi tempat bot berbagi rincian tentang layanan yang rentan (mis., perangkat yang dilindungi oleh kata sandi standar).
Setelah serangan brute-force berhasil, perangkat didaftarkan ke dalam daftar bot di server C2 yang mengidentifikasi arsitektur CPU perangkat untuk mentransmisikan muatan infeksi khusus melalui Telnet, mengunduh binari bot, dan komponen malware lainnya dari server hosting (switchnets[.]net:80), dan menjalankan mereka.
Selain itu, beberapa versi botnet (4.0 hingga 5.3) hadir dengan fitur reverse proxy yang memungkinkan perangkat terinfeksi bertindak sebagai proxy untuk server hosting, sehingga mengarahkan perangkat yang terinfeksi untuk mengunduh dan menyimpan executable yang diperlukan secara lokal selain menghubungkannya ke server hosting pusat.
Bukan itu saja, dark_nexus hadir dengan perintah persistensi yang mencegah perangkat agar tidak di-boot ulang dengan menghentikan layanan cron dan menghapus hak istimewa untuk layanan yang dapat digunakan untuk mem-boot ulang perangkat.
Botnet Mirai, sejak ditemukan pada tahun 2016, telah dikaitkan dengan sejumlah serangan DDoS skala besar. Sejak itu, banyak varian Mirai bermunculan, sebagian besar dikarenakan source code Mirai dapat diakses di Internet.
Fakta bahwa dark_nexus dibangun terinspirasi dari dasar Mirai dan Qbot adalah bukti dari taktik yang berkembang dari operator botnet, memungkinkan mereka untuk menambah fungsionalitas baru dengan mengeksploitasi berbagai kerentanan pada perangkat IoT yang tidak diamankan dengan baik dan mengumpulkan pasukan botnet modern.
