Pelaku ancaman bernama Matrix telah dikaitkan dengan kampanye penolakan layanan (DoD) terdistribusi yang memanfaatkan kerentanan dan kesalahan konfigurasi pada perangkat Internet of Things (IoT) untuk mengkooptasinya menjadi botnet yang mengganggu.
“Operasi ini berfungsi sebagai one-stop shop yang komprehensif untuk memindai, mengeksploitasi kerentanan, menyebarkan malware, dan menyiapkan perangkat toko, yang menunjukkan pendekatan yang dapat dilakukan sendiri terhadap serangan siber,” Assaf Morag, direktur intelijen ancaman di keamanan cloud tegas Aqua, kata.
Ada bukti yang menunjukkan bahwa operasi tersebut adalah karya seorang aktor serigala tunggal, seorang anak naskah asal Rusia. Serangan tersebut terutama menargetkan alamat IP yang berlokasi di Tiongkok, Jepang, dan pada tingkat lebih rendah di Argentina, Australia, Brasil, Mesir, India, dan Amerika Serikat.
Tidak adanya Ukraina dalam jejak viktimologi menunjukkan bahwa para penyerang murni didorong oleh motivasi finansial, kata perusahaan keamanan cloud tersebut.
Rantai serangan ditandai dengan eksploitasi kelemahan keamanan yang diketahui serta kredensial default atau lemah untuk mendapatkan akses ke spektrum luas perangkat yang terhubung ke internet seperti kamera IP, DVR, router, dan peralatan telekomunikasi.
Pelaku ancaman juga terlihat memanfaatkan server Telnet, SSH, dan Hadoop yang salah dikonfigurasi, dengan fokus khusus pada penargetan rentang alamat IP yang terkait dengan penyedia layanan cloud (CSP) seperti Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud.
Aktivitas jahat ini selanjutnya bergantung pada beragam skrip dan alat yang tersedia untuk umum di GitHub, yang pada akhirnya menyebarkan malware botnet Mirai dan program terkait DDoS lainnya pada perangkat dan server yang disusupi.
Ini termasuk PYbot, pynet, DiscordGo, Homo Network, program JavaScript yang mengimplementasikan serangan banjir HTTP/HTTPS, dan alat yang dapat menonaktifkan aplikasi Microsoft Defender Antivirus di mesin Windows.
Matrix juga diketahui menggunakan akun GitHub mereka sendiri yang mereka buka pada November 2023 untuk menampilkan beberapa artefak DDoS yang digunakan dalam kampanye.
Dipercaya juga bahwa seluruh penawaran diiklankan sebagai layanan DDoS untuk disewa melalui bot Telegram bernama “Kraken Autobuy” yang memungkinkan pelanggan memilih dari berbagai tingkatan dengan imbalan pembayaran mata uang kripto untuk melakukan serangan.
“Kampanye ini, meski tidak terlalu canggih, menunjukkan bagaimana alat yang mudah diakses dan pengetahuan teknis dasar dapat memungkinkan individu melakukan serangan luas dan multi-segi terhadap berbagai kerentanan dan kesalahan konfigurasi pada perangkat yang terhubung ke jaringan,” kata Morag.
“Kesederhanaan metode ini menyoroti pentingnya mengatasi praktik keamanan mendasar, seperti mengubah kredensial default, mengamankan protokol administratif, dan menerapkan pembaruan firmware tepat waktu, untuk melindungi terhadap serangan oportunistik yang luas seperti ini.”
Pengungkapan ini terjadi ketika NSFOCUS menyoroti keluarga botnet yang dijuluki XorBot yang terutama menargetkan kamera dan router Intelbras dari NETGEAR, TP-Link, dan D-Link sejak November 2023.
“Seiring dengan bertambahnya jumlah perangkat yang dikendalikan oleh botnet ini, operator di belakangnya juga mulai secara aktif terlibat dalam operasi yang menguntungkan, secara terbuka mengiklankan layanan penyewaan serangan DDoS,” kata perusahaan keamanan siber tersebut, seraya menambahkan bahwa botnet tersebut diiklankan dengan nama Masjesu.
“Pada saat yang sama, dengan mengadopsi cara teknis canggih seperti memasukkan kode berlebihan dan mengaburkan sampel tanda tangan, mereka telah meningkatkan kemampuan pertahanan di tingkat file, membuat perilaku serangan mereka lebih sulit untuk dipantau dan diidentifikasi.”