Nexcorium: Varian Mirai Terbaru yang Mengancam Perangkat IoT di Seluruh Dunia

Shape Shape

Nexcorium: Varian Mirai Terbaru yang Mengancam Perangkat IoT di Seluruh Dunia

Para peneliti keamanan siber dari Fortinet FortiGuard Labs telah mengidentifikasi varian malware Mirai bernama Nexcorium yang sedang aktif menargetkan perangkat DVR merek TBK untuk membangun botnet DDoS berskala besar.

Nexcorium mewakili evolusi terbaru dalam lanskap ancaman botnet IoT, menggabungkan teknik eksploitasi kerentanan yang canggih dengan kemampuan multi-arsitektur yang memungkinkannya menginfeksi berbagai jenis perangkat. Malware ini secara aktif menargetkan perangkat TBK DVR-4104 dan DVR-4216, memanfaatkan kerentanan injeksi perintah CVE-2024-3721 untuk mendapatkan akses tidak sah.

Tim peneliti FortiGuard Labs, dipimpin oleh Vincent Li, mencatat bahwa Nexcorium menunjukkan “sifat khas botnet IoT modern yang menggabungkan eksploitasi kerentanan, dukungan untuk banyak arsitektur, dan berbagai metode persistensi untuk mempertahankan akses jangka panjang ke sistem yang terinfeksi.”

Arsitektur dan Kemampuan

Nexcorium dirancang sebagai malware multi-arsitektur yang mampu berjalan pada berbagai platform prosesor, termasuk ARM, MIPS, dan x86-64. Kemampuan adaptasi ini memungkinkan malware untuk menginfeksi berbagai jenis perangkat IoT, mulai dari kamera keamanan sederhana hingga sistem embedded yang lebih canggih.

Salah satu karakteristik yang paling mencolok dari Nexcorium adalah pesan yang ditampilkan setelah berhasil menginfeksi sistem: “nexuscorp has taken control” dan “Nexus Team”. Pesan ini tidak hanya berfungsi sebagai tanda tangan digital attacker, tetapi juga menunjukkan tingkat kepercayaan diri yang tinggi dari kelompok threat actor di balik operasi ini.

Metode Infeksi dan Penyebaran

Nexcorium menggunakan kombinasi eksploitasi kerentanan dan brute-force untuk menyebar ke perangkat baru:

  • Eksploitasi Kerentanan: Malware ini secara aktif mengeksploitasi CVE-2024-3721, kerentanan injeksi perintah pada perangkat TBK DVR, untuk mendapatkan akses awal. Selain itu, Nexcorium juga membawa eksploit CVE-2017-17215 yang ditujukan khusus untuk router Huawei HG532.
  • Brute-Force: Malware ini dilengkapi dengan daftar kamus password yang telah di-hardcode, berisi kombinasi kredensial lemah seperti “admin”, “12345”, “password”, dan variasi lainnya. Daftar ini digunakan untuk melakukan serangan brute-force terhadap perangkat yang belum di-patch.
  • Scanning Jaringan Lokal: Setelah menginfeksi perangkat, Nexcorium secara aktif memindari jaringan lokal untuk mencari perangkat IoT lain yang rentan, menciptakan efek bola salju yang memungkinkan botnet tumbuh dengan cepat dalam waktu singkat.

Kemampuan DDoS

Tujuan utama dari Nexcorium adalah membentuk botnet yang mampu melancarkan serangan Distributed Denial of Service (DDoS) berskala besar. Malware ini mendukung lebih dari sepuluh metode serangan yang berbeda, memberikan fleksibilitas tinggi kepada operator botnet dalam memilih strategi yang paling efektif untuk target spesifik mereka:

  • UDP Flood: Membanjiri target dengan paket UDP berukuran besar untuk menghabiskan bandwidth dan sumber daya jaringan.
  • TCP SYN Flood: Mengeksploitasi three-way handshake TCP dengan mengirimkan SYN request tanpa pernah menyelesaikan koneksi, menghabiskan sumber daya koneksi server.
  • SMTP Flood: Menargetkan server mail dengan permintaan SMTP berlebihan untuk mengganggu layanan email.
  • HTTP/HTTPS Flood: Serangan application layer yang menargetkan server web dengan permintaan HTTP yang tampak legitimate, lebih sulit dideteksi dan diblokir.

Botnet Nexcorium berkomunikasi dengan server Command and Control (C2) jarak jauh untuk menerima instruksi penargetan. Server C2 bertindak sebagai pusat komando, mengirimkan target yang harus diserang, jenis serangan yang akan digunakan, durasi serangan, dan parameter operasional lainnya kepada setiap node botnet yang terinfeksi.

Mitigation Strategies

Sebagai ancaman yang terus berkembang, botnet IoT seperti Nexcorium menuntut pendekatan pertahanan yang komprehensif dan proaktif. Berikut adalah strategi mitigasi yang direkomendasikan untuk melindungi infrastruktur dari ancaman ini:

1. Patch Management Proaktif

Salah satu langkah paling efektif untuk mencegah infeksi Nexcorium adalah memastikan bahwa semua perangkat IoT, terutama perangkat TBK DVR dan router Huawei HG532, diperbarui dengan patch keamanan terbaru. Vendor telah merilis patch untuk kerentanan yang dieksploitasi oleh Nexcorium, dan menerapkan patch ini secara promp dapat secara signifikan mengurangi risiko infeksi. Organisasi harus menerapkan kebijakan patch management yang ketat, dengan jadwal pembaruan reguler dan mekanisme untuk melacak dan memastikan bahwa semua perangkat tetap ter-patch.

2. Hardcoding Default Credentials

Nexcorium menggunakan daftar kamus password yang telah di-hardcode untuk melakukan serangan brute-force terhadap perangkat yang menggunakan kredensial default. Untuk melindungi terhadap ancaman ini, sangat penting untuk mengubah semua kredensial default pada perangkat IoT segera setelah instalasi. Kredensial baru harus kuat, unik, dan kompleks, dengan kombinasi huruf besar dan kecil, angka, dan karakter khusus. Organisasi harus menerapkan kebijakan keamanan yang mewajibkan perubahan kredensial default dan melarang penggunaan kredensial yang sama di beberapa perangkat.

3. Network Segmentation

Segmentasi jaringan adalah strategi pertahanan yang efektif untuk membatasi penyebaran botnet IoT seperti Nexcorium. Dengan memisahkan perangkat IoT ke dalam segmen jaringan yang terpisah dari jaringan produksi utama, organisasi dapat membatasi kemampuan malware untuk bergerak secara lateral dan menyebar ke perangkat lain. Firewall dan Access Control Lists (ACLs) harus dikonfigurasi untuk membatasi komunikasi antara segmen IoT dan jaringan lain, hanya mengizinkan lalu lintas yang diperlukan untuk operasional perangkat. Monitoring jaringan yang ketat harus diterapkan untuk mendeteksi aktivitas mencurigakan atau upaya kompromi.

4. Intrusion Detection and Prevention Systems (IDPS)

Penerapan Intrusion Detection and Prevention Systems (IDPS) adalah komponen penting dari strategi pertahanan terhadap ancaman botnet IoT. IDPS dapat memantau lalu lintas jaringan secara real-time, mendeteksi pola aktivitas yang mencurigakan atau konsisten dengan perilaku botnet, dan secara otomatis mengambil tindakan untuk memblokir atau mengganggu ancaman. Organisasi harus mengkonfigurasi IDPS dengan signatures dan rules yang spesifik untuk mendeteksi aktivitas Nexcorium, seperti pola scanning jaringan, komunikasi C2, dan payload DDoS. Pembaruan reguler terhadap signatures IDPS sangat penting untuk memastikan kemampuan deteksi terhadap varian baru dan teknik evolusioner botnet.

5. Security Awareness and Training

Meningkatnya kesadaran keamanan siber di antara karyawan dan pengguna adalah aspek penting dari strategi pertahanan yang komprehensif. Pelatihan keamanan reguler harus disediakan untuk mengedukasi staf tentang risiko botnet IoT, cara mengidentifikasi tanda-tanda kompromi perangkat, dan praktik terbaik untuk mengamankan perangkat IoT. Pengguna harus didorong untuk mengubah kredensial default, menerapkan pembaruan keamanan segera setelah tersedia, dan melaporkan aktivitas mencurigakan kepada tim keamanan IT. Membangun budaya kesadaran keamanan yang kuat dapat secara signifikan mengurangi risiko infeksi botnet dan meningkatkan kemampuan organisasi untuk merespons ancaman secara efektif.

 

Nexcorium mewakili evolusi terbaru dalam lanskap ancaman botnet IoT, menggabungkan teknik eksploitasi kerentanan yang canggih dengan kemampuan multi-arsitektur dan metode persistensi yang kuat. Aktivitas aktif dari botnet ini, yang menargetkan perangkat TBK DVR dan berpotensi menginfeksi berbagai perangkat IoT lainnya, menunjukkan risiko signifikan yang ditimbulkan oleh botnet modern terhadap infrastruktur digital.

Untuk melindungi terhadap ancaman Nexcorium dan botnet IoT serupa, organisasi harus menerapkan strategi pertahanan yang komprehensif dan berlapis, yang mencakup patch management proaktif, hardcoding kredensial default, segmentasi jaringan, IDPS, dan kesadaran keamanan. Dengan mengadopsi pendekatan pertahanan yang proaktif dan berkelanjutan, organisasi dapat secara signifikan mengurangi risiko kompromi botnet dan melindungi infrastruktur digital mereka dari ancaman yang terus berkembang.

 

Artikel ini ditulis untuk memberikan informasi keamanan siber terkini. Jika Anda memiliki perangkat IoT yang terdaftar dalam artikel ini, segera perbarui firmware dan ubah kredensial default untuk melindungi dari ancaman Nexcorium.

Leave a Reply

Your email address will not be published. Required fields are marked *