Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Sektor Bisnis
  • Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru
  • Sektor Bisnis
  • Sektor Personal

Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru

3 min read

Credit image: Pixabay

Kita ketahui bersama bahwa Log4Shell kini menjadi momok menakutkan di tahun 2022. ESET sendiri telah melacak dan mendeteksi ratusan ribu serangan global yang memanfaatkan kerentanan Log4Shell hampir di 180 negara.

Penjahat dunia maya kini bulu berpacu untuk berburu kerentanan, mereka melihat celah besar terbuka di seluruh penjuru dunia akibat kerentanan Log4j 2. Serangan global juga datang dari kelompok peretas yang disponsori oleh negara tertentu, seperti APT35 yang diamati telah memanfaatkan serangan Log4Shell untuk menyusupkan backdoor PowerShell baru.

Backdoor dengan payload modular ini menangani komunikasi C2 melakukan enumerasi sistem, dan akhirnya menerima, mendekripsi, dan memuat modul tambahan.

Baca juga: Teknologi Nexgen ESET Tangkal Zero Day

APT35

APT35 adalah salah satu yang pertama memanfaatkan kerentanan sebelum target memiliki kesempatan untuk menerapkan pembaruan keamanan, memindai sistem yang rentan hanya beberapa hari setelah kerentanan tersebut diungkapkan kepada publik.

Serangan yang dilakukan APT35 diketahui karena saat mereka mengeksploitasi kerentanan dalam pustaka kode Apache yang disebut Log4j 2 tersebut diketahui dilancarkan dengan tergesa-gesa sehingga tidak menyiapkan infrastruktur baru dan menggunakan infrastruktur lama yang diketahui sering digunakan oleh grup tersebut.

Namun, sebagai bagian dari penelitian mereka, para analis juga melihat sesuatu yang baru dalam bentuk backdoor modular PowerShell bernama CharmPower.

Baca juga: Solid Teknologi Pengontrol Privasi Data Pengguna

Backdoor modular

Modul inti ini dapat melakukan fungsi utama berikut:

  1. Validasi koneksi jaringan – Setelah dieksekusi, skrip menunggu koneksi internet aktif dengan membuat permintaan HTTP POST ke google.com dengan parameter hi=hi.
  2. Pencacahan sistem dasar – Skrip mengumpulkan versi OS Windows, nama komputer, dan konten file Ni.txt di jalur $APPDATA; file tersebut mungkin dibuat dan diisi oleh modul berbeda yang akan diunduh oleh modul utama.
  3. Ambil domain C&C – Malware memecahkan kode domain C&C yang diambil dari URL hardcode hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 yang terletak di bucket S3 yang sama dari tempat backdoor diunduh.
  4. Menerima, mendekripsi, dan menjalankan modul tindak lanjut.

Modul inti terus mengirimkan permintaan HTTP POST ke C2 yang tidak dijawab atau menerima string Base64 yang memulai pengunduhan modul PowerShell atau C# tambahan.

‘CharmPower’ bertanggung jawab untuk mendekripsi dan memuat modul-modul ini, dan ini kemudian membentuk saluran komunikasi independen dengan C2.

Daftar modul yang akan dikirim ke titik akhir yang terinfeksi dihasilkan secara otomatis berdasarkan data sistem dasar yang diambil oleh CharmPower selama fase pengintaian.

Baca juga: Teknologi Canggih Filtering dan Pemindaian Vimanamail

Modul tambahan yang dikirim oleh C2 adalah sebagai berikut:

  1. Aplikasi – Menghitung penghapusan nilai registri dan menggunakan perintah “wmic” untuk mencari tahu aplikasi mana yang diinstal pada sistem yang terinfeksi.
  2. Tangkapan Layar – Merekam tangkapan layar sesuai dengan frekuensi yang ditentukan dan mengunggahnya ke server FTP menggunakan kredensial hardcode.
  3. Proses – Mengambil proses yang sedang berjalan dengan menggunakan perintah daftar tugas.
  4. Informasi sistem – Menjalankan perintah “systeminfo” untuk mengumpulkan informasi sistem. 
  5. Eksekusi Perintah – Modul eksekusi perintah jarak jauh yang menampilkan opsi Invoke-Expression, cmd, dan PowerShell.
  6. Pembersihan – Modul untuk menghapus semua jejak yang tersisa di sistem yang disusupi, seperti entri folder registri dan startup, file, dan proses. perintah ini dijalankan di akhir serangan APT35.

Backdoor lama

Terlihat kesamaan antara CharmPower dan spyware Android yang digunakan oleh APT35 di masa lalu, termasuk mengimplementasikan fungsi logging yang sama dan menggunakan format dan sintaks yang identik.

Juga, parameter “Stack=Overflow” dalam komunikasi C2 terlihat pada kedua sampel, yang merupakan elemen unik yang hanya terlihat pada alat APT35.

Kesamaan kode dan infrastruktur yang tumpang tindih ini mengindikasi bahwa serangan diprakarsai oleh APT35.

‘CharmPower’ adalah contoh seberapa cepat pelaku dapat merespons munculnya kerentanan seperti CVE-2021-44228 dan menyatukan kode dari alat yang sebelumnya terpapar untuk menciptakan sesuatu yang kuat dan efektif yang dapat melewati lapisan keamanan dan deteksi.

 

Baca juga: 

  • Untung Teknologi Biometrik
  • Teknologi Canggih ESET untuk Dunia Siber
  • Kecanduan Teknologi Narkoba Digital Anak-anak
  • Serangan Siber Mengganas Jangan Salah Pilih Teknologi
Tags: antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat Antivirus Komprehensif Antivirus Nomor Wahid antivirus noor satu Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top Backdoor PowerShell Log4Shell ESET Metode Serangan Log4Shel News prosperita Prosperita Serangan APT35 Serangan Log4Shell Baru

Post navigation

Previous Mitigasi Spyware
Next Penipuan Cryptocurrency Paling Umum

artikel terkini

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
Waspada Thread Hijacking Waspada Threa

Waspada Thread Hijacking

July 16, 2026
RedHook Manfaatkan Wireless ADB Infeksi Android RedHook Manfaatkan Wireless ADB Infeksi Android

RedHook Manfaatkan Wireless ADB Infeksi Android

July 15, 2026
Malware Baru yang Mengincar Pengguna macOS Malware Baru yang Mengincar Pengguna macOS

Malware Baru yang Mengincar Pengguna macOS

July 15, 2026
Alasan BEC Sangat Berbahaya Alasan BEC Sangat Berbahaya

Alasan BEC Sangat Berbahaya

July 15, 2026

Lainnya

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja
5 min read
  • Sektor Bisnis
  • Sektor Personal

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase
4 min read
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI
4 min read
  • Sektor Bisnis
  • Sektor Personal

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data
3 min read
  • Sektor Bisnis
  • Sektor Personal

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
PROSPERITA IT News | DarkNews by AF themes.