Cyberthreat.id - Versi terbaru dari malware botnet yang disebut KmsdBot kini menargetkan perangkat Internet of Things (IoT), sekaligus memperluas kemampuan dan permukaan serangannya.

“Biner ini sekarang mencakup dukungan untuk pemindaian Telnet dan dukungan untuk lebih banyak arsitektur CPU,” kata peneliti keamanan Akamai Larry W. Cashdollar dalam analisis yang diterbitkan bulan ini sebagaimana ditulis The Hacker News.

Pengulangan terbaru, yang diamati sejak 16 Juli 2023, terjadi beberapa bulan setelah diketahui bahwa botnet tersebut ditawarkan sebagai layanan DDoS untuk disewa kepada pelaku ancaman lainnya. Fakta bahwa ia dipelihara secara aktif menunjukkan efektivitasnya dalam serangan di dunia nyata.

The Hacker News menuliskan, KmsdBot pertama kali didokumentasikan oleh perusahaan infrastruktur dan keamanan web pada November 2022. KmsdBot terutama dirancang untuk menargetkan server game pribadi dan penyedia hosting awan, meskipun sejak itu KmsdBot juga menargetkan beberapa situs pemerintah Rumania dan pendidikan Spanyol.

Malware ini dirancang untuk memindai alamat IP acak untuk port SSH terbuka dan memaksa sistem dengan daftar kata sandi yang diunduh dari server yang dikendalikan aktor. Pembaruan baru ini menggabungkan pemindaian Telnet serta memungkinkannya mencakup lebih banyak arsitektur CPU yang umum ditemukan di perangkat IoT.

“Seperti pemindai SSH, pemindai Telnet memanggil fungsi yang menghasilkan alamat IP acak,” jelas Cashdollar. "Kemudian, ia mencoba menyambung ke port 23 pada alamat IP itu. Pemindai Telnet tidak berhenti pada keputusan mendengarkan/tidak mendengarkan port 23 yang sederhana; ia memverifikasi bahwa buffer penerima berisi data."

Serangan terhadap Telnet dilakukan dengan mengunduh file teks (telnet.txt) yang berisi daftar kata sandi lemah yang umum digunakan dan kombinasinya untuk berbagai aplikasi, terutama memanfaatkan fakta bahwa banyak perangkat IoT memiliki kredensial default yang tidak berubah.

“Aktivitas kampanye malware KmsdBot yang sedang berlangsung menunjukkan bahwa perangkat IoT tetap lazim dan rentan di internet, menjadikannya target yang menarik untuk membangun jaringan sistem yang terinfeksi,” kata Cashdollar.

“Dari sudut pandang teknis, penambahan kemampuan pemindaian telnet menunjukkan perluasan permukaan serangan botnet, sehingga memungkinkannya menargetkan perangkat yang lebih luas. Selain itu, seiring dengan berkembangnya malware dan menambahkan dukungan untuk lebih banyak arsitektur CPU, hal ini menimbulkan ancaman yang berkelanjutan. untuk keamanan perangkat yang terhubung ke internet."[]