Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru
  • Sektor Bisnis
  • Sektor Personal

Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru

3 min read

Credit image: Pixabay

Kita ketahui bersama bahwa Log4Shell kini menjadi momok menakutkan di tahun 2022. ESET sendiri telah melacak dan mendeteksi ratusan ribu serangan global yang memanfaatkan kerentanan Log4Shell hampir di 180 negara.

Penjahat dunia maya kini bulu berpacu untuk berburu kerentanan, mereka melihat celah besar terbuka di seluruh penjuru dunia akibat kerentanan Log4j 2. Serangan global juga datang dari kelompok peretas yang disponsori oleh negara tertentu, seperti APT35 yang diamati telah memanfaatkan serangan Log4Shell untuk menyusupkan backdoor PowerShell baru.

Backdoor dengan payload modular ini menangani komunikasi C2 melakukan enumerasi sistem, dan akhirnya menerima, mendekripsi, dan memuat modul tambahan.

Baca juga: Teknologi Nexgen ESET Tangkal Zero Day

APT35

APT35 adalah salah satu yang pertama memanfaatkan kerentanan sebelum target memiliki kesempatan untuk menerapkan pembaruan keamanan, memindai sistem yang rentan hanya beberapa hari setelah kerentanan tersebut diungkapkan kepada publik.

Serangan yang dilakukan APT35 diketahui karena saat mereka mengeksploitasi kerentanan dalam pustaka kode Apache yang disebut Log4j 2 tersebut diketahui dilancarkan dengan tergesa-gesa sehingga tidak menyiapkan infrastruktur baru dan menggunakan infrastruktur lama yang diketahui sering digunakan oleh grup tersebut.

Namun, sebagai bagian dari penelitian mereka, para analis juga melihat sesuatu yang baru dalam bentuk backdoor modular PowerShell bernama CharmPower.

Baca juga: Solid Teknologi Pengontrol Privasi Data Pengguna

Backdoor modular

Modul inti ini dapat melakukan fungsi utama berikut:

  1. Validasi koneksi jaringan – Setelah dieksekusi, skrip menunggu koneksi internet aktif dengan membuat permintaan HTTP POST ke google.com dengan parameter hi=hi.
  2. Pencacahan sistem dasar – Skrip mengumpulkan versi OS Windows, nama komputer, dan konten file Ni.txt di jalur $APPDATA; file tersebut mungkin dibuat dan diisi oleh modul berbeda yang akan diunduh oleh modul utama.
  3. Ambil domain C&C – Malware memecahkan kode domain C&C yang diambil dari URL hardcode hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 yang terletak di bucket S3 yang sama dari tempat backdoor diunduh.
  4. Menerima, mendekripsi, dan menjalankan modul tindak lanjut.

Modul inti terus mengirimkan permintaan HTTP POST ke C2 yang tidak dijawab atau menerima string Base64 yang memulai pengunduhan modul PowerShell atau C# tambahan.

‘CharmPower’ bertanggung jawab untuk mendekripsi dan memuat modul-modul ini, dan ini kemudian membentuk saluran komunikasi independen dengan C2.

Daftar modul yang akan dikirim ke titik akhir yang terinfeksi dihasilkan secara otomatis berdasarkan data sistem dasar yang diambil oleh CharmPower selama fase pengintaian.

Baca juga: Teknologi Canggih Filtering dan Pemindaian Vimanamail

Modul tambahan yang dikirim oleh C2 adalah sebagai berikut:

  1. Aplikasi – Menghitung penghapusan nilai registri dan menggunakan perintah “wmic” untuk mencari tahu aplikasi mana yang diinstal pada sistem yang terinfeksi.
  2. Tangkapan Layar – Merekam tangkapan layar sesuai dengan frekuensi yang ditentukan dan mengunggahnya ke server FTP menggunakan kredensial hardcode.
  3. Proses – Mengambil proses yang sedang berjalan dengan menggunakan perintah daftar tugas.
  4. Informasi sistem – Menjalankan perintah “systeminfo” untuk mengumpulkan informasi sistem. 
  5. Eksekusi Perintah – Modul eksekusi perintah jarak jauh yang menampilkan opsi Invoke-Expression, cmd, dan PowerShell.
  6. Pembersihan – Modul untuk menghapus semua jejak yang tersisa di sistem yang disusupi, seperti entri folder registri dan startup, file, dan proses. perintah ini dijalankan di akhir serangan APT35.

Backdoor lama

Terlihat kesamaan antara CharmPower dan spyware Android yang digunakan oleh APT35 di masa lalu, termasuk mengimplementasikan fungsi logging yang sama dan menggunakan format dan sintaks yang identik.

Juga, parameter “Stack=Overflow” dalam komunikasi C2 terlihat pada kedua sampel, yang merupakan elemen unik yang hanya terlihat pada alat APT35.

Kesamaan kode dan infrastruktur yang tumpang tindih ini mengindikasi bahwa serangan diprakarsai oleh APT35.

‘CharmPower’ adalah contoh seberapa cepat pelaku dapat merespons munculnya kerentanan seperti CVE-2021-44228 dan menyatukan kode dari alat yang sebelumnya terpapar untuk menciptakan sesuatu yang kuat dan efektif yang dapat melewati lapisan keamanan dan deteksi.

 

Baca juga: 

  • Untung Teknologi Biometrik
  • Teknologi Canggih ESET untuk Dunia Siber
  • Kecanduan Teknologi Narkoba Digital Anak-anak
  • Serangan Siber Mengganas Jangan Salah Pilih Teknologi
Tags: antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat Antivirus Komprehensif Antivirus Nomor Wahid antivirus noor satu Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top Backdoor PowerShell Log4Shell ESET Metode Serangan Log4Shel News prosperita Prosperita Serangan APT35 Serangan Log4Shell Baru

Continue Reading

Previous: Mitigasi Spyware
Next: Penipuan Cryptocurrency Paling Umum

Related Stories

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025

Recent Posts

  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.