Backdoor

Malware OrBit siluman baru mencuri data dari perangkat Linux

July 8, 2022 by Mally

Malware Linux yang baru ditemukan digunakan untuk mencuri informasi secara diam-diam dari sistem Linux backdoor dan menginfeksi semua proses yang berjalan di mesin.

Dijuluki OrBit oleh peneliti keamanan Intezer Labs yang pertama kali melihatnya, malware ini membajak pustaka bersama untuk mencegat panggilan fungsi dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan yang mudah menguap saat disalin dalam memori-shim.

Itu juga dapat menghubungkan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan kegigihan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan menyaring apa yang dicatat.

Meskipun komponen dropper dan payload OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware sejak itu memperbarui produk mereka untuk memperingatkan pelanggan akan keberadaannya.

Payload OrBit tidak terdeteksi di VirusTotal (Intezer Labs)

OrBit bukan malware Linux pertama yang sangat mengelak yang muncul baru-baru ini, yang mampu menggunakan pendekatan serupa untuk sepenuhnya berkompromi dan perangkat backdoor.

Symbiote juga menggunakan direktif LD_PRELOAD untuk memuat dirinya sendiri ke dalam proses yang berjalan, bertindak sebagai parasit di seluruh sistem dan tidak meninggalkan tanda-tanda infeksi.

BPPFDoor, malware lain yang baru-baru ini terlihat menargetkan sistem Linux, menyamarkan dirinya dengan menggunakan nama-nama daemon Linux umum, yang membantunya tetap tidak terdeteksi selama lebih dari lima tahun.

Kedua jenis ini menggunakan fungsi pengait BPF (Berkeley Packet Filter) untuk memantau dan memanipulasi lalu lintas jaringan yang membantu menyembunyikan saluran komunikasi mereka dari alat keamanan.

Malware Linux ketiga, rootkit dalam pengembangan berat yang dijuluki Syslogk dan diluncurkan oleh peneliti Avast bulan lalu, dapat memuat modulnya sendiri secara paksa ke dalam kernel Linux, mesin backdoor yang disusupi, dan menyembunyikan direktori dan lalu lintas jaringan untuk menghindari deteksi.

Meskipun bukan jenis malware pertama atau paling orisinal yang menargetkan Linux akhir-akhir ini, OrBit masih hadir dengan bagian kemampuannya yang membedakannya dari ancaman lainnya.

Sumber: Bleeping Computer

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

July 3, 2022 by Mally

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

June 14, 2022 by Mally

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

June 14, 2022 by Mally

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Hello XD ransomware sekarang menjatuhkan Backdoor saat mengenkripsi

June 13, 2022 by Mally

Peneliti keamanan siber melaporkan peningkatan aktivitas ransomware Hello XD, yang operatornya sekarang menerapkan sampel yang ditingkatkan dengan enkripsi yang lebih kuat.

Pertama kali diamati pada November 2021, keluarga tertentu didasarkan pada kode sumber yang bocor dari Babuk dan terlibat dalam sejumlah kecil serangan pemerasan ganda di mana pelaku ancaman mencuri data perusahaan sebelum mengenkripsi perangkat.

Menurut sebuah laporan baru oleh Palo Alto Networks Unit 42, pembuat malware telah menciptakan sebuah encryptor baru yang menampilkan custom packing untuk menghindari deteksi dan perubahan algoritma enkripsi.

Ini menandai keberangkatan yang signifikan dari kode Babuk dan menyoroti niat penulis untuk mengembangkan jenis ransomware baru dengan kemampuan dan fitur unik untuk meningkatkan serangan.

Operasi ransomware Hello XD saat ini tidak menggunakan situs pembayaran Tor untuk memeras korban, melainkan menginstruksikan korban untuk memasuki negosiasi secara langsung melalui layanan obrolan TOX.

Dalam versi terbaru, operator malware telah menambahkan tautan situs bawang pada catatan tebusan yang dijatuhkan, tetapi Unit 42 mengatakan situs itu offline, jadi mungkin sedang dalam pembangunan.

Halo catatan tebusan XD, kiri lama, kanan baru (Unit 42)

Saat dijalankan, Hello XD mencoba menonaktifkan salinan bayangan untuk mencegah pemulihan sistem yang mudah dan kemudian mengenkripsi file, menambahkan ekstensi .hello ke nama file.

Selain muatan ransomware, Unit 42 juga mengamati operator Hello XD sekarang menggunakan pintu belakang sumber terbuka bernama MicroBackdoor untuk menavigasi sistem yang disusupi, mengekstrak file, menjalankan perintah, dan menghapus jejak.

Eksekusi MicroBackdoor ini dienkripsi menggunakan WinCrypt API dan disematkan di dalam muatan ransomware, sehingga langsung dijatuhkan ke sistem setelah terinfeksi.

Mendekripsi dan menjatuhkan Microbackdoor (Unit 42)

Pengemas kustom yang digunakan dalam versi kedua payload ransomware menampilkan dua lapisan kebingungan.

Penulis telah menurunkan crypter dengan memodifikasi UPX, sebuah paket open-source yang telah disalahgunakan oleh banyak pembuat malware di masa lalu.

Pengepakan UPX (kanan) dan pengemasan khusus (kiri) (Unit 42)

Dekripsi gumpalan yang disematkan melibatkan penggunaan algoritme khusus yang berisi instruksi tidak konvensional seperti XLAT, sementara panggilan API dalam pengepakan anehnya tidak dikaburkan.

Aspek paling menarik dari versi utama kedua Hello XD adalah mengganti algoritma enkripsi dari HC-128 dan Curve25519-Donna yang dimodifikasi ke Rabbit Cipher dan Curve25519-Donna.

Enkripsi babuk (kiri) dan enkripsi Hello XD 2.0 (kanan) (Unit 42)

Selain itu, penanda file di versi kedua diubah dari string yang koheren menjadi byte acak, membuat hasil kriptografi lebih kuat.

Saat ini, Hello XD adalah proyek ransomware tahap awal berbahaya yang saat ini digunakan di alam liar. Meskipun volume infeksinya belum signifikan, perkembangannya yang aktif dan terarah meletakkan dasar untuk status yang lebih berbahaya.

Unit 42 melacak asal-usulnya ke aktor ancaman berbahasa Rusia menggunakan alias X4KME, yang mengunggah tutorial tentang penggelaran Cobalt Strike Beacons dan infrastruktur berbahaya secara online.

Selain itu, peretas yang sama telah memposting di forum untuk menawarkan eksploitasi proof-of-concept (PoC), layanan crypter, distribusi Kali Linux khusus, dan layanan hosting dan distribusi malware.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

May 12, 2022 by Mally

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

May 12, 2022 by Mally

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes

Malware Daxin Yang Memiliki Kaitan Dengan China Menargetkan Beberapa Pemerintah Dalam Serangan Spionase

March 2, 2022 by Mally

Malware Daxin menargetkan jaringan pemerintah di seluruh dunia, menurut para peneliti, dengan tujuan spionase siber.

Tim Symantec Threat Hunter Broadcom menggambarkan backdoor, bernama Daxin, sebagai malware berteknologi canggih, yang memungkinkan penyerang melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis bagi China.

Mereka menambahkan bahwa lingkup operasi spesifik Daxin termasuk membaca dan menulis file; memulai dan berinteraksi dengan proses di sistem yang terpengaruh; dan kemampuan gerakan lateral dan bersembunyi yang canggih.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsi command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet,” CISA memperingatkan dalam peringatan yang dirilis hari Senin.

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut analisis Symantec yang dirilis pada hari Senin, dan memiliki fokus untuk bersembunyi.

“Kemampuan Daxin menunjukkan para penyerang menginvestasikan upaya signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal di jaringan target,” kata Symantec. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Sebaliknya, malware dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi.”

Daxin berkomunikasi dengan layanan yang sah melalui tunneling jaringan, tambah mereka – dan selanjutnya, dapat mengatur komunikasi daisy-chain, untuk bergerak secara internal melalui hop antara beberapa komputer yang terhubung.

Di antara aspek yang tidak biasa dari Daxin adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan “saluran komunikasi multi-node” yang memungkinkan akses berulang ke komputer yang disusupi untuk waktu yang lama.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Backdoor

File email berbahaya

Cookies Settings