Backdoor PowerShell yang sebelumnya tidak terdokumentasi dan sepenuhnya tidak terdeteksi sedang digunakan secara aktif oleh aktor ancaman yang menargetkan setidaknya 69 entitas.
Berdasarkan fitur-fiturnya, malware ini dirancang untuk spionase siber, terutama terlibat dalam pemusnahan data dari sistem yang disusupi.
Saat pertama kali terdeteksi, backdoor PowerShell tidak dianggap berbahaya oleh vendor mana pun di layanan pemindaian VirusTotal.
Namun, penyamarannya terbongkar karena kesalahan operasional oleh peretas, memungkinkan analis SafeBreach untuk mengakses dan mendekripsi perintah yang dikirim oleh penyerang untuk dieksekusi pada perangkat yang terinfeksi.
Serangan dimulai dengan kedatangan email phishing dengan lampiran dokumen berbahaya bernama “Terapkan Form.docm.” Berdasarkan konten file dan metadata, kemungkinan bertema aplikasi pekerjaan berbasis LinkedIn.
Dokumen tersebut berisi makro berbahaya yang menjatuhkan dan menjalankan skrip ‘updater.vbs’ yang membuat tugas terjadwal untuk meniru pembaruan Windows rutin.
Skrip VBS kemudian mengeksekusi dua skrip PowerShell, “Script.ps1” dan “Temp.ps1,” yang keduanya disimpan di dalam dokumen berbahaya dalam bentuk yang dikaburkan.
Saat SafeBreach pertama kali menemukan skrip, tidak ada vendor antivirus di VirusTotal yang mendeteksi skrip PowerShell sebagai berbahaya.
“Script.ps1” terhubung ke server perintah dan kontrol penyerang (C2), mengirimkan ID korban ke operator, dan kemudian menunggu perintah yang diterima dalam bentuk terenkripsi AES-256 CBC.
Berdasarkan jumlah ID, analis SafeBreach menyimpulkan bahwa C2 pelaku ancaman telah mencatat 69 ID sebelumnya, yang kemungkinan merupakan perkiraan jumlah komputer yang dilanggar.
Skrip “Temp.ps1” mendekode perintah dalam respons, mengeksekusinya, lalu mengenkripsi dan mengunggah hasilnya melalui permintaan POST ke C2.
SafeBreach memanfaatkan ID korban yang dapat diprediksi dan membuat skrip yang dapat mendekripsi perintah yang dikirim ke masing-masing dari mereka.
Analis menemukan bahwa dua pertiga dari perintah adalah untuk mengekstrak data, dengan yang lain digunakan untuk enumerasi pengguna, daftar file, penghapusan file dan akun, dan enumerasi klien RDP.
Backdoor PowerShell ini adalah contoh karakteristik dari ancaman tersembunyi yang tidak diketahui yang digunakan dalam serangan terhadap sistem pengguna pemerintah, perusahaan, dan pribadi.
Pembela tidak hanya perlu diberi tahu tentang ancaman yang diketahui atau yang muncul, tetapi juga untuk memperhitungkan vektor yang tidak diketahui yang mungkin mampu melewati langkah-langkah keamanan dan pemindaian AV.
Sementara beberapa mesin AV dapat mendeteksi perilaku berbahaya secara heuristik dalam skrip PowerShell, pelaku ancaman terus mengembangkan kode mereka untuk melewati deteksi ini.
Cara terbaik untuk mencapai ini adalah dengan menerapkan pembaruan keamanan secepat mungkin, membatasi akses jarak jauh ke titik akhir, mengikuti prinsip hak istimewa paling rendah, dan memantau lalu lintas jaringan secara teratur.
Sumber: Bleeping Computer
