Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Rangkaian Emoji Ini Sebenarnya Malware

by

Dalam waktu dekat, peretas dapat menipu Anda hanya dengan mengirimkan serangkaian emoji acak ke komputer atau ponsel Anda, menurut peneliti keamanan siber.

Biasanya, ketika peretas menemukan kelemahan pada komputer atau ponsel target, mereka membuat apa yang disebut eksploitasi—sepotong kode yang dirancang untuk memanfaatkan kelemahan tersebut dan mengendalikan target. Sama seperti kode lainnya, exploit biasanya berisi string huruf dan simbol.

Selama pembicaraan di konferensi peretasan DEF CON di Las Vegas pada hari Jumat, peneliti keamanan Hadrien Barral dan Georges-Axel Jaloyan mengatakan mereka telah menemukan cara untuk menggunakan hanya serangkaian emoji untuk memberikan eksploitasi ke target. Peringatannya adalah bahwa ada keadaan khusus yang perlu terjadi agar eksploitasi emoji berfungsi.

Jayolan menjelaskan bahwa saat mengirimkan exploit ke target, harus melalui filter terlebih dahulu—misalnya, jika seorang hacker mengirimkan payloadnya melalui formulir yang hanya menerima huruf dan angka, maka payloadnya harus berupa huruf dan angka. Jadi, agar serangan emoji berfungsi, perlu melalui filter yang hanya menerima emoji, yang menurut Jaloyan tidak ada saat ini.

Kedua peneliti berbagi dengan Motherboard contoh eksploitasi yang hanya dibuat dari emoji. Mereka juga mempublikasikan detail teknis penelitian mereka di GitHub.

Namun, penelitian dan bukti konsep Barral dan Jaloyan menunjukkan bahwa menggunakan emoji untuk meretas target memang memungkinkan.

Ide peneliti adalah untuk mendidik penyerang dan pembela keamanan siber untuk menunjukkan kepada mereka bahwa ini mungkin, yang seharusnya mendorong mereka untuk mengubah perilaku mereka.

Selama penelitian mereka, Barral dan Jaloyan menemukan bahwa beberapa perangkat lunak kesulitan memproses emoji. Ini tidak berarti perangkat lunak ini dapat diretas dengan emoji, tetapi menunjukkan bahwa emoji cukup baru sehingga tidak semua komputer dan program mendukungnya.

VICE

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

by

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

by

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News

Badan keamanan siber mengungkapkan jenis malware teratas tahun lalu

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) merilis daftar jenis malware yang paling banyak terdeteksi tahun lalu dalam konsultasi bersama dengan Australian Cyber ​​Security Center (ACSC).

“Pengguna malware paling produktif dari jenis malware teratas adalah penjahat cyber, yang menggunakan malware untuk mengirimkan ransomware atau memfasilitasi pencurian informasi pribadi dan keuangan.”

Strain malware teratas yang diamati pada tahun 2021 termasuk Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

Dari jumlah tersebut, Agen Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot telah digunakan dalam serangan setidaknya selama lima tahun terakhir, sementara Qakbot dan Ursnif telah digunakan selama lebih dari satu dekade.

Umur panjang keluarga malware ini disebabkan oleh upaya berkelanjutan pengembang mereka untuk meningkatkannya dengan menambahkan kemampuan dan cara baru untuk menghindari deteksi.

Penasihat bersama mencakup tanda tangan Snort untuk semua malware di atas untuk mendeteksi muatan dengan memantau lalu lintas jaringan dan daftar tindakan mitigasi.

CISA dan ACSC mendorong admin dan tim keamanan untuk menerapkan mitigasi berikut untuk mempertahankan diri dari serangan malware:

  • Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware, di I.T. aset jaringan
  • Terapkan MFA semaksimal mungkin
  • Jika Anda menggunakan RDP dan/atau layanan lain yang berpotensi berisiko, amankan dan pantau dengan cermat
  • Pertahankan cadangan data offline (yaitu, terputus secara fisik)
  • Memberikan kesadaran dan pelatihan pengguna akhir untuk membantu memblokir rekayasa sosial dan serangan spearphishing
  • Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas

Pada bulan April, otoritas keamanan siber di seluruh dunia, dalam kemitraan dengan NSA dan FBI, juga merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi dalam serangan selama tahun 2021.

CISA dan FBI juga telah menerbitkan daftar 10 bug keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang paling sering disalahgunakan pada tahun 2020 bekerja sama dengan ACSC dan National Cyber ​​Security Center (NCSC) Inggris.

Pada bulan Juni, MITRE juga membagikan daftar 25 bug perangkat lunak paling berbahaya tahun ini setelah mengungkapkan kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada November 2021.

Sumber: Bleeping Computer

Bagaimana malware menipu pengguna dan antivirus

by

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)
Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer

Microsoft “Menghubungkan” Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

by

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

DEV-0206 adalah nama lain Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

SUmber: The Hacker News

Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

by

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

Sumber: Arstechnica