Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru

Kita ketahui bersama bahwa Log4Shell kini menjadi momok menakutkan di tahun 2022. ESET sendiri telah melacak dan mendeteksi ratusan ribu serangan global yang memanfaatkan kerentanan Log4Shell hampir di 180 negara.

Penjahat dunia maya kini bulu berpacu untuk berburu kerentanan, mereka melihat celah besar terbuka di seluruh penjuru dunia akibat kerentanan Log4j 2. Serangan global juga datang dari kelompok peretas yang disponsori oleh negara tertentu, seperti APT35 yang diamati telah memanfaatkan serangan Log4Shell untuk menyusupkan backdoor PowerShell baru.

Backdoor dengan payload modular ini menangani komunikasi C2 melakukan enumerasi sistem, dan akhirnya menerima, mendekripsi, dan memuat modul tambahan.

APT35

APT35 adalah salah satu yang pertama memanfaatkan kerentanan sebelum target memiliki kesempatan untuk menerapkan pembaruan keamanan, memindai sistem yang rentan hanya beberapa hari setelah kerentanan tersebut diungkapkan kepada publik.

Serangan yang dilakukan APT35 diketahui karena saat mereka mengeksploitasi kerentanan dalam pustaka kode Apache yang disebut Log4j 2 tersebut diketahui dilancarkan dengan tergesa-gesa sehingga tidak menyiapkan infrastruktur baru dan menggunakan infrastruktur lama yang diketahui sering digunakan oleh grup tersebut.

Namun, sebagai bagian dari penelitian mereka, para analis juga melihat sesuatu yang baru dalam bentuk backdoor modular PowerShell bernama CharmPower.

Backdoor modular

Modul inti ini dapat melakukan fungsi utama berikut:

1. Validasi koneksi jaringan – Setelah dieksekusi, skrip menunggu koneksi internet aktif dengan membuat permintaan HTTP POST ke google.com dengan parameter hi=hi.
2. Pencacahan sistem dasar – Skrip mengumpulkan versi OS Windows, nama komputer, dan konten file Ni.txt di jalur $APPDATA; file tersebut mungkin dibuat dan diisi oleh modul berbeda yang akan diunduh oleh modul utama.
3. Ambil domain C&C – Malware memecahkan kode domain C&C yang diambil dari URL hardcode hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 yang terletak di bucket S3 yang sama dari tempat backdoor diunduh.
4. Menerima, mendekripsi, dan menjalankan modul tindak lanjut.

Modul inti terus mengirimkan permintaan HTTP POST ke C2 yang tidak dijawab atau menerima string Base64 yang memulai pengunduhan modul PowerShell atau C# tambahan.

‘CharmPower’ bertanggung jawab untuk mendekripsi dan memuat modul-modul ini, dan ini kemudian membentuk saluran komunikasi independen dengan C2.

Daftar modul yang akan dikirim ke titik akhir yang terinfeksi dihasilkan secara otomatis berdasarkan data sistem dasar yang diambil oleh CharmPower selama fase pengintaian.

Modul tambahan yang dikirim oleh C2 adalah sebagai berikut:

1. Aplikasi – Menghitung penghapusan nilai registri dan menggunakan perintah “wmic” untuk mencari tahu aplikasi mana yang diinstal pada sistem yang terinfeksi.
2. Tangkapan Layar – Merekam tangkapan layar sesuai dengan frekuensi yang ditentukan dan mengunggahnya ke server FTP menggunakan kredensial hardcode.
3. Proses – Mengambil proses yang sedang berjalan dengan menggunakan perintah daftar tugas.
4. Informasi sistem – Menjalankan perintah “systeminfo” untuk mengumpulkan informasi sistem. 
5. Eksekusi Perintah – Modul eksekusi perintah jarak jauh yang menampilkan opsi Invoke-Expression, cmd, dan PowerShell.
6. Pembersihan – Modul untuk menghapus semua jejak yang tersisa di sistem yang disusupi, seperti entri folder registri dan startup, file, dan proses. perintah ini dijalankan di akhir serangan APT35.

Backdoor lama

Terlihat kesamaan antara CharmPower dan spyware Android yang digunakan oleh APT35 di masa lalu, termasuk mengimplementasikan fungsi logging yang sama dan menggunakan format dan sintaks yang identik.

Juga, parameter “Stack=Overflow” dalam komunikasi C2 terlihat pada kedua sampel, yang merupakan elemen unik yang hanya terlihat pada alat APT35.

Kesamaan kode dan infrastruktur yang tumpang tindih ini mengindikasi bahwa serangan diprakarsai oleh APT35.

‘CharmPower’ adalah contoh seberapa cepat pelaku dapat merespons munculnya kerentanan seperti CVE-2021-44228 dan menyatukan kode dari alat yang sebelumnya terpapar untuk menciptakan sesuatu yang kuat dan efektif yang dapat melewati lapisan keamanan dan deteksi.