
Ilustrasi | Foto: Forbes
Ilustrasi | Foto: Forbes
Cyberthreat.id - Kelompok APT penyedia jasa peretasan, DeathStalker, menggunakan backdoor baru dalam serangan terbarunya.
Deathstalker merupakan salah satu kelompok APT yang aktif setidaknya sejak 2012 tetapi baru terekspos pada Agustus 2020. DeathStalker diyakini sebagai organisasi tentara bayaran dunia maya yang menargetkan bisnis kecil hingga menengah di belasan negara, berdasarkan permintaan pelanggan atau nilai dari entitas yang ditargetkan.
Temuan peneliti Kaspersky sebagaimana dikutip Security Week, dalam serangan yang baru-baru ini dilakukan DeathStalker telah menggunakan pintu belakang PowerShell baru dalam serangannya.
Kaspersky yang telah melacak kelompok tersebut sejak 2018, akhirnya berhasil mengidentifikasi malware yang sebelumnya tidak teridentifikasi, yang digunakan kelompok tersebut dalam serangan sejak pertengahan Juli. Malware tersebut dijuluki PowerPepper yang telah digunakan dalam serangan dan terus ditingkatkan.
Dengan menargetkan sistem Windows, malware yang dimasukkan dalam memori dapat menjalankan perintah shell yang dikirim oleh penyerang jarak jauh dan mencoba menghindari deteksi dan eksekusi di lingkungan sandbox. Ini menggunakan DNS melalui HTTPS (DoH) untuk berkomunikasi dengan server perintah dan kontrolnya (C&C), dan memanfaatkan Cloudflare responders.
Komunikasi C&C dienkripsi dan malware akan menggunakan implementasi enkripsi AES yang sama seperti backdoor Powersing yang sebelumnya dirinci. Namun, mode padding AES berbeda dan format input fungsi telah diubah.
Peneliti Kaspersky mengamati, malware tersebut secara teratur mengirimkan permintaan DNS tipe TXT ke server nama (NS) yang terkait dengan nama domain C&C untuk menerima perintah. Kemudian mengirimkan kembali hasil eksekusi perintah.
“Di atas logika komunikasi DNS C2, PowerPepper juga menandakan kesalahan startup implan dan aliran eksekusi yang berhasil ke backend Python, melalui HTTPS. Pensinyalan tersebut memungkinkan validasi target dan pencatatan eksekusi implan, sekaligus mencegah peneliti berinteraksi lebih lanjut dengan server nama C2 berbahaya PowerPepper," ungkap peneliti Kaspersky.
Para peneliti keamanan juga menemukan backend Python dihosting di layanan hosting publik yang sah PythonAnywhere dan bekerja dengan penyedia layanan untuk menghapusnya. Hal ini mendorong operator untuk menghapus fitur dari sebagian besar dokumen pengiriman PowerPepper dan menambahkan domain WordPress yang dikompromikan yang akan berfungsi sebagai proxy balik antara implan dan backend.
Peneliti Kaspersky menambahkan, PowerPepper dikirimkan oleh DeathStalker melalui dokumen Word berbahaya yang menyematkan semua item yang diperlukan untuk eksekusi malware dan menyiapkan persistensi. Dalam beberapa kasus, file pintasan Windows digunakan untuk pengiriman, dengan rantai memanfaatkan skrip PowerShell berbahaya dan menggunakan dokumen Word yang bertindak secara ketat sebagai umpan. PowerPepper telah digunakan dalam banyak serangan yang menargetkan firma hukum dan konsultasi di Amerika Serikat, Eropa, dan Asia.
“Ancaman DeathStalker jelas memprihatinkan, dengan viktimologi untuk berbagai jenis malware yang menunjukkan bahwa setiap perusahaan atau individu di dunia dapat menjadi sasaran aktivitas jahat mereka, asalkan seseorang telah memutuskan bahwa mereka menarik dan menyampaikan kata tersebut kepada aktor ancaman."[]
Editor: Yuswardi A. Suud
Berita terkait:
Share: