Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru
  • Sektor Bisnis
  • Sektor Personal

Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru

3 min read

Credit image: Pixabay

Kita ketahui bersama bahwa Log4Shell kini menjadi momok menakutkan di tahun 2022. ESET sendiri telah melacak dan mendeteksi ratusan ribu serangan global yang memanfaatkan kerentanan Log4Shell hampir di 180 negara.

Penjahat dunia maya kini bulu berpacu untuk berburu kerentanan, mereka melihat celah besar terbuka di seluruh penjuru dunia akibat kerentanan Log4j 2. Serangan global juga datang dari kelompok peretas yang disponsori oleh negara tertentu, seperti APT35 yang diamati telah memanfaatkan serangan Log4Shell untuk menyusupkan backdoor PowerShell baru.

Backdoor dengan payload modular ini menangani komunikasi C2 melakukan enumerasi sistem, dan akhirnya menerima, mendekripsi, dan memuat modul tambahan.

Baca juga: Teknologi Nexgen ESET Tangkal Zero Day

APT35

APT35 adalah salah satu yang pertama memanfaatkan kerentanan sebelum target memiliki kesempatan untuk menerapkan pembaruan keamanan, memindai sistem yang rentan hanya beberapa hari setelah kerentanan tersebut diungkapkan kepada publik.

Serangan yang dilakukan APT35 diketahui karena saat mereka mengeksploitasi kerentanan dalam pustaka kode Apache yang disebut Log4j 2 tersebut diketahui dilancarkan dengan tergesa-gesa sehingga tidak menyiapkan infrastruktur baru dan menggunakan infrastruktur lama yang diketahui sering digunakan oleh grup tersebut.

Namun, sebagai bagian dari penelitian mereka, para analis juga melihat sesuatu yang baru dalam bentuk backdoor modular PowerShell bernama CharmPower.

Baca juga: Solid Teknologi Pengontrol Privasi Data Pengguna

Backdoor modular

Modul inti ini dapat melakukan fungsi utama berikut:

  1. Validasi koneksi jaringan – Setelah dieksekusi, skrip menunggu koneksi internet aktif dengan membuat permintaan HTTP POST ke google.com dengan parameter hi=hi.
  2. Pencacahan sistem dasar – Skrip mengumpulkan versi OS Windows, nama komputer, dan konten file Ni.txt di jalur $APPDATA; file tersebut mungkin dibuat dan diisi oleh modul berbeda yang akan diunduh oleh modul utama.
  3. Ambil domain C&C – Malware memecahkan kode domain C&C yang diambil dari URL hardcode hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 yang terletak di bucket S3 yang sama dari tempat backdoor diunduh.
  4. Menerima, mendekripsi, dan menjalankan modul tindak lanjut.

Modul inti terus mengirimkan permintaan HTTP POST ke C2 yang tidak dijawab atau menerima string Base64 yang memulai pengunduhan modul PowerShell atau C# tambahan.

‘CharmPower’ bertanggung jawab untuk mendekripsi dan memuat modul-modul ini, dan ini kemudian membentuk saluran komunikasi independen dengan C2.

Daftar modul yang akan dikirim ke titik akhir yang terinfeksi dihasilkan secara otomatis berdasarkan data sistem dasar yang diambil oleh CharmPower selama fase pengintaian.

Baca juga: Teknologi Canggih Filtering dan Pemindaian Vimanamail

Modul tambahan yang dikirim oleh C2 adalah sebagai berikut:

  1. Aplikasi – Menghitung penghapusan nilai registri dan menggunakan perintah “wmic” untuk mencari tahu aplikasi mana yang diinstal pada sistem yang terinfeksi.
  2. Tangkapan Layar – Merekam tangkapan layar sesuai dengan frekuensi yang ditentukan dan mengunggahnya ke server FTP menggunakan kredensial hardcode.
  3. Proses – Mengambil proses yang sedang berjalan dengan menggunakan perintah daftar tugas.
  4. Informasi sistem – Menjalankan perintah “systeminfo” untuk mengumpulkan informasi sistem. 
  5. Eksekusi Perintah – Modul eksekusi perintah jarak jauh yang menampilkan opsi Invoke-Expression, cmd, dan PowerShell.
  6. Pembersihan – Modul untuk menghapus semua jejak yang tersisa di sistem yang disusupi, seperti entri folder registri dan startup, file, dan proses. perintah ini dijalankan di akhir serangan APT35.

Backdoor lama

Terlihat kesamaan antara CharmPower dan spyware Android yang digunakan oleh APT35 di masa lalu, termasuk mengimplementasikan fungsi logging yang sama dan menggunakan format dan sintaks yang identik.

Juga, parameter “Stack=Overflow” dalam komunikasi C2 terlihat pada kedua sampel, yang merupakan elemen unik yang hanya terlihat pada alat APT35.

Kesamaan kode dan infrastruktur yang tumpang tindih ini mengindikasi bahwa serangan diprakarsai oleh APT35.

‘CharmPower’ adalah contoh seberapa cepat pelaku dapat merespons munculnya kerentanan seperti CVE-2021-44228 dan menyatukan kode dari alat yang sebelumnya terpapar untuk menciptakan sesuatu yang kuat dan efektif yang dapat melewati lapisan keamanan dan deteksi.

 

Baca juga: 

  • Untung Teknologi Biometrik
  • Teknologi Canggih ESET untuk Dunia Siber
  • Kecanduan Teknologi Narkoba Digital Anak-anak
  • Serangan Siber Mengganas Jangan Salah Pilih Teknologi
Tags: antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat Antivirus Komprehensif Antivirus Nomor Wahid antivirus noor satu Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top Backdoor PowerShell Log4Shell ESET Metode Serangan Log4Shel News prosperita Prosperita Serangan APT35 Serangan Log4Shell Baru

Post navigation

Previous Mitigasi Spyware
Next Penipuan Cryptocurrency Paling Umum

Related Stories

Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan
3 min read
  • Mobile Security
  • Sektor Personal

Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan

October 10, 2025
Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email

October 9, 2025
Keamanan Siber Bukan Sekadar Biaya Keamanan Siber Bukan Sekadar Biaya
4 min read
  • Sektor Bisnis
  • Teknologi

Keamanan Siber Bukan Sekadar Biaya

October 9, 2025

Recent Posts

  • Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru
  • Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan
  • Hidden Text Salting
  • Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email
  • Keamanan Siber Bukan Sekadar Biaya
  • Penipuan PayPal Terkini
  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru
3 min read
  • Ransomware

Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru

October 10, 2025
Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan
3 min read
  • Mobile Security
  • Sektor Personal

Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan

October 10, 2025
Hidden Text Salting Hidden Text Salting
3 min read
  • Edukasi

Hidden Text Salting

October 10, 2025
Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email

October 9, 2025

Copyright © All rights reserved. | DarkNews by AF themes.