Cyberthreat.id - Pelaku ancaman di balik alat serangan DDoSia telah hadir dengan versi baru yang menggabungkan mekanisme baru untuk mengambil daftar target yang akan dibombardir dengan permintaan HTTP sampah dalam upaya menjatuhkannya.

Varian yang diperbarui, ditulis dalam Golang, "menerapkan mekanisme keamanan tambahan untuk menyembunyikan daftar target, yang ditransmisikan dari [command-and-control] ke pengguna," kata perusahaan keamanan siber Sekoia dalam tulisan teknis sebagaimana dikutip The Hacker News.

DDoSia dikaitkan dengan kelompok peretas pro-Rusia bernama NoName(057)16. Diluncurkan pada tahun 2022 dan merupakan penerus botnet Bobik, alat serangan ini dirancang untuk melakukan serangan denial-of-service (DDoS) terdistribusi terhadap target yang terutama berlokasi di Eropa serta Australia, Kanada, dan Jepang.

Lituania, Ukraina, Polandia, Italia, Ceko, Denmark, Latvia, Prancis, Inggris Raya, dan Swiss telah muncul sebagai negara yang paling banyak ditargetkan selama periode mulai dari 8 Mei hingga 26 Juni 2023. Sebanyak 486 situs berbeda terkena dampaknya.

Implementasi DDoSia berbasis Python dan Go telah ditemukan hingga saat ini, menjadikannya program lintas platform yang dapat digunakan di sistem Windows, Linux, dan macOS.

“DDoSia adalah aplikasi multi-utas yang melakukan serangan denial-of-service terhadap situs target dengan berulang kali mengeluarkan permintaan jaringan,” SentinelOne menjelaskan dalam analisis yang diterbitkan pada Januari 2023 sebagaimana dirilis The Hacker News. “DDoSia mengeluarkan permintaan seperti yang diinstruksikan oleh file konfigurasi yang diterima malware dari server C2 saat dimulai."

DDoSia didistribusikan melalui proses yang sepenuhnya otomatis di Telegram yang memungkinkan individu untuk mendaftar inisiatif crowdsourced dengan imbalan pembayaran mata uang kripto dan arsip ZIP yang berisi toolkit serangan.

Apa yang patut diperhatikan tentang versi baru ini adalah penggunaan enkripsi untuk menutupi daftar target yang akan diserang, yang menunjukkan bahwa alat ini dipelihara secara aktif oleh operator.

"NoName057(16) berupaya membuat malware mereka kompatibel dengan banyak sistem operasi, hampir pasti mencerminkan niat mereka untuk membuat malware mereka tersedia untuk sejumlah besar pengguna, yang mengakibatkan penargetan korban yang lebih luas," kata Sekoia.

Perkembangan ini terjadi ketika Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan tentang serangan denial-of-service (DoS) dan DDoS yang ditargetkan terhadap banyak organisasi di berbagai sektor.

"Serangan ini dapat menghabiskan waktu dan uang organisasi dan dapat membebankan biaya reputasi sementara sumber daya dan layanan tidak dapat diakses," kata agensi tersebut dalam sebuah buletin.

Meskipun CISA tidak memberikan rincian tambahan, peringatan tersebut tumpang tindih dengan klaim oleh Anonymous Sudan di saluran Telegramnya bahwa mereka telah menghapus situs web Departemen Perdagangan, Administrasi Jaminan Sosial (SSA), dan Sistem Pembayaran Pajak Federal Elektronik Departemen Keuangan (EFTPS).

Anonim Sudan menarik perhatian bulan lalu karena melakukan serangan Layer 7 DDoS terhadap berbagai layanan Microsoft, termasuk OneDrive, Outlook, dan portal web Azure. Raksasa teknologi itu melacak cluster dengan nama Storm-1359.

Awak peretas telah menegaskan bahwa mereka melakukan serangan dunia maya dari Afrika atas nama Muslim tertindas di seluruh dunia. Tetapi para peneliti keamanan dunia maya percaya itu adalah operasi pro-Kremlin yang tidak memiliki hubungan dengan Sudan dan anggota kelompok peretas KillNet.

Dalam analisis yang dirilis pada 19 Juni 2023, vendor keamanan siber Australia CyberCX mencirikan entitas tersebut sebagai "tabir asap untuk kepentingan Rusia". Situs web perusahaan sejak itu tidak dapat diakses, menyapa pengunjung dengan pesan "403 Forbidden". Pelaku ancaman mengaku bertanggung jawab atas serangan siber tersebut.

"Alasan serangan itu: berhenti menyebarkan desas-desus tentang kami, dan Anda harus mengatakan yang sebenarnya dan menghentikan investigasi yang kami sebut investigasi anjing," kata Anonymous Sudan dalam pesan yang diposting pada 22 Juni 2023.

Anonim Sudan, dalam laporan Bloomberg pekan lalu, membantah lebih lanjut terkait dengan Rusia tetapi mengakui bahwa mereka memiliki kepentingan yang sama, dan bahwa itu mengejar "segala sesuatu yang memusuhi Islam."

Penasihat terbaru CISA juga tidak luput dari perhatian, karena kelompok tersebut memposting tanggapan pada 30 Juni 2023, yang menyatakan: "Sebuah kelompok kecil Sudan dengan kemampuan terbatas memaksa 'pemerintah paling kuat' di dunia untuk menerbitkan artikel dan tweet tentang serangan kami."[]