Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru
  • Sektor Bisnis
  • Sektor Personal

Backdoor PowerShell Prakarsai Serangan Log4Shell Terbaru

3 min read

Credit image: Pixabay

Kita ketahui bersama bahwa Log4Shell kini menjadi momok menakutkan di tahun 2022. ESET sendiri telah melacak dan mendeteksi ratusan ribu serangan global yang memanfaatkan kerentanan Log4Shell hampir di 180 negara.

Penjahat dunia maya kini bulu berpacu untuk berburu kerentanan, mereka melihat celah besar terbuka di seluruh penjuru dunia akibat kerentanan Log4j 2. Serangan global juga datang dari kelompok peretas yang disponsori oleh negara tertentu, seperti APT35 yang diamati telah memanfaatkan serangan Log4Shell untuk menyusupkan backdoor PowerShell baru.

Backdoor dengan payload modular ini menangani komunikasi C2 melakukan enumerasi sistem, dan akhirnya menerima, mendekripsi, dan memuat modul tambahan.

Baca juga: Teknologi Nexgen ESET Tangkal Zero Day

APT35

APT35 adalah salah satu yang pertama memanfaatkan kerentanan sebelum target memiliki kesempatan untuk menerapkan pembaruan keamanan, memindai sistem yang rentan hanya beberapa hari setelah kerentanan tersebut diungkapkan kepada publik.

Serangan yang dilakukan APT35 diketahui karena saat mereka mengeksploitasi kerentanan dalam pustaka kode Apache yang disebut Log4j 2 tersebut diketahui dilancarkan dengan tergesa-gesa sehingga tidak menyiapkan infrastruktur baru dan menggunakan infrastruktur lama yang diketahui sering digunakan oleh grup tersebut.

Namun, sebagai bagian dari penelitian mereka, para analis juga melihat sesuatu yang baru dalam bentuk backdoor modular PowerShell bernama CharmPower.

Baca juga: Solid Teknologi Pengontrol Privasi Data Pengguna

Backdoor modular

Modul inti ini dapat melakukan fungsi utama berikut:

  1. Validasi koneksi jaringan – Setelah dieksekusi, skrip menunggu koneksi internet aktif dengan membuat permintaan HTTP POST ke google.com dengan parameter hi=hi.
  2. Pencacahan sistem dasar – Skrip mengumpulkan versi OS Windows, nama komputer, dan konten file Ni.txt di jalur $APPDATA; file tersebut mungkin dibuat dan diisi oleh modul berbeda yang akan diunduh oleh modul utama.
  3. Ambil domain C&C – Malware memecahkan kode domain C&C yang diambil dari URL hardcode hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 yang terletak di bucket S3 yang sama dari tempat backdoor diunduh.
  4. Menerima, mendekripsi, dan menjalankan modul tindak lanjut.

Modul inti terus mengirimkan permintaan HTTP POST ke C2 yang tidak dijawab atau menerima string Base64 yang memulai pengunduhan modul PowerShell atau C# tambahan.

‘CharmPower’ bertanggung jawab untuk mendekripsi dan memuat modul-modul ini, dan ini kemudian membentuk saluran komunikasi independen dengan C2.

Daftar modul yang akan dikirim ke titik akhir yang terinfeksi dihasilkan secara otomatis berdasarkan data sistem dasar yang diambil oleh CharmPower selama fase pengintaian.

Baca juga: Teknologi Canggih Filtering dan Pemindaian Vimanamail

Modul tambahan yang dikirim oleh C2 adalah sebagai berikut:

  1. Aplikasi – Menghitung penghapusan nilai registri dan menggunakan perintah “wmic” untuk mencari tahu aplikasi mana yang diinstal pada sistem yang terinfeksi.
  2. Tangkapan Layar – Merekam tangkapan layar sesuai dengan frekuensi yang ditentukan dan mengunggahnya ke server FTP menggunakan kredensial hardcode.
  3. Proses – Mengambil proses yang sedang berjalan dengan menggunakan perintah daftar tugas.
  4. Informasi sistem – Menjalankan perintah “systeminfo” untuk mengumpulkan informasi sistem. 
  5. Eksekusi Perintah – Modul eksekusi perintah jarak jauh yang menampilkan opsi Invoke-Expression, cmd, dan PowerShell.
  6. Pembersihan – Modul untuk menghapus semua jejak yang tersisa di sistem yang disusupi, seperti entri folder registri dan startup, file, dan proses. perintah ini dijalankan di akhir serangan APT35.

Backdoor lama

Terlihat kesamaan antara CharmPower dan spyware Android yang digunakan oleh APT35 di masa lalu, termasuk mengimplementasikan fungsi logging yang sama dan menggunakan format dan sintaks yang identik.

Juga, parameter “Stack=Overflow” dalam komunikasi C2 terlihat pada kedua sampel, yang merupakan elemen unik yang hanya terlihat pada alat APT35.

Kesamaan kode dan infrastruktur yang tumpang tindih ini mengindikasi bahwa serangan diprakarsai oleh APT35.

‘CharmPower’ adalah contoh seberapa cepat pelaku dapat merespons munculnya kerentanan seperti CVE-2021-44228 dan menyatukan kode dari alat yang sebelumnya terpapar untuk menciptakan sesuatu yang kuat dan efektif yang dapat melewati lapisan keamanan dan deteksi.

 

Baca juga: 

  • Untung Teknologi Biometrik
  • Teknologi Canggih ESET untuk Dunia Siber
  • Kecanduan Teknologi Narkoba Digital Anak-anak
  • Serangan Siber Mengganas Jangan Salah Pilih Teknologi
Tags: antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat Antivirus Komprehensif Antivirus Nomor Wahid antivirus noor satu Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top Backdoor PowerShell Log4Shell ESET Metode Serangan Log4Shel News prosperita Prosperita Serangan APT35 Serangan Log4Shell Baru

Continue Reading

Previous: Mitigasi Spyware
Next: Penipuan Cryptocurrency Paling Umum

Related Stories

5 Kiat Menjaga Kemanan Siber Ponsel 5 Kiat Menjaga Kemanan Siber Ponsel
3 min read
  • Mobile Security
  • Sektor Personal

5 Kiat Menjaga Kemanan Siber Ponsel

July 4, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
4 min read
  • Sektor Personal

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri

June 30, 2025

Recent Posts

  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

5 Kiat Menjaga Kemanan Siber Ponsel 5 Kiat Menjaga Kemanan Siber Ponsel
3 min read
  • Mobile Security
  • Sektor Personal

5 Kiat Menjaga Kemanan Siber Ponsel

July 4, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
4 min read
  • Sektor Personal

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri

June 30, 2025
Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025

Copyright © All rights reserved. | DarkNews by AF themes.