Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Linux

Linux

Kerentanan dalam program Linux memungkinkan eskalasi hak istimewa lokal, lapor peneliti

by

Kerentanan yang baru diungkapkan dalam program Linux dapat dieksploitasi untuk peningkatan hak istimewa lokal — dan pada akhirnya untuk memperoleh hak akses root, kata peneliti di vendor keamanan siber Qualys hari ini.

Kerentanan (CVE-2021-44731) — yang memengaruhi sistem Snap Canonical untuk mengemas dan menyebarkan perangkat lunak — tidak dapat dieksploitasi dari jarak jauh. Namun, “jika penyerang dapat masuk sebagai pengguna yang tidak memiliki hak istimewa, kerentanan dapat dengan cepat dieksploitasi untuk mendapatkan hak akses root,” kata para peneliti dalam sebuah posting blog.

Snap digunakan untuk sistem operasi berbasis Linux seperti Ubuntu, dan paketnya disebut sebagai “snaps.” Platform snap “telah dikembangkan untuk membawa instalasi aplikasi yang aman ke Ubuntu dan distribusi Linux lainnya,” kata Canonical dalam sebuah pernyataan yang diberikan kepada VentureBeat pada hari Kamis.

Melalui publikasi Pengembang XDA baru-baru ini, “Aplikasi Snap lebih portabel daripada perangkat lunak Linux tradisional, dan kebanyakan dari mereka dikemas untuk mencegah beberapa masalah keamanan umum.”

Alat untuk menggunakan snap, sementara itu, disebut snapd – dan alat ini bekerja “di berbagai distribusi Linux dan memungkinkan pengembang perangkat lunak hulu untuk mendistribusikan aplikasi mereka langsung ke pengguna,” kata peneliti Qualys dalam posting tersebut.

Selengkapnya: Venture Beat

Ransomware LockBit versi Linux menargetkan server VMware ESXi

by

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

Bug Linux Memberikan Root pada Semua Distro Utama, Eksploitasi Dirilis

by

Kerentanan dalam komponen pkexec Polkit yang diidentifikasi sebagai CVE-2021-4034 (PwnKit) hadir dalam konfigurasi default semua distribusi Linux utama dan dapat dimanfaatkan untuk mendapatkan hak istimewa root penuh pada sistem, para peneliti memperingatkan hari ini.

CVE-2021-4034 telah diberi nama PwnKit dan asal-usulnya telah dilacak ke komitmen awal pkexec, lebih dari 12 tahun yang lalu, yang berarti bahwa semua versi Polkit terpengaruh.

Bagian dari kerangka aplikasi open-source Polkit yang menegosiasikan interaksi antara proses istimewa dan tidak mampu, pkexec memungkinkan pengguna yang berwenang untuk menjalankan perintah sebagai pengguna lain, dua kali lipat sebagai alternatif untuk sudo.

Mudah dieksploitasi, PoC diharapkan segera

Para peneliti di perusahaan keamanan informasi Qualys menemukan bahwa program pkexec dapat digunakan oleh penyerang lokal untuk meningkatkan hak istimewa untuk membasmi instalasi default Ubuntu, Debian, Fedora, dan CentOS.

Mereka memperingatkan bahwa PwnKit kemungkinan dapat dieksploitasi pada sistem operasi Linux lainnya juga.

Bharat Jogi, Direktur Kerentanan dan Penelitian Ancaman di Qualys menjelaskan bahwa PwnKit adalah “kerentanan korupsi memori di Polkit, yang memungkinkan setiap pengguna yang tidak mampu untuk mendapatkan hak istimewa root penuh pada sistem yang rentan menggunakan konfigurasi polkit default,”

Peneliti mencatat bahwa masalah ini telah bersembunyi di depan mata sejak versi pertama pkexec inn Mei 2009. Video di bawah ini menunjukkan eksploitasi bug:

Mengeksploitasi cacat itu sangat mudah, kata para peneliti, bahwa kode eksploitasi proof-of-concept (PoC) diperkirakan akan menjadi publik hanya dalam beberapa hari. Tim Peneliti Qualys tidak akan merilis PoC untuk PwnKit.

Pembaruan: Eksploitasi telah muncul di ruang publik, kurang dari tiga jam setelah Qualys menerbitkan rincian teknis untuk PwnKit. BleepingComputer telah menyusun dan menguji eksploitasi yang tersedia, yang terbukti dapat diandalkan karena memberi kita hak istimewa root pada sistem pada semua upaya.

Mengacu pada eksploitasi, analis kerentanan CERT / CC Will Dormann mengatakan bahwa itu sederhana dan universal. Peneliti lebih lanjut mengujinya pada sistem ARM64, menunjukkan bahwa ia bekerja pada arsitektur itu juga.

Qualys melaporkan masalah keamanan secara bertanggung jawab pada 18 November 2021, dan menunggu patch tersedia sebelum menerbitkan rincian teknis di balik PwnKit.

Perusahaan sangat merekomendasikan administrator memprioritaskan penerapan patch yang penulis Polkit dirilis di GitLab mereka beberapa jam yang lalu.

Distro Linux memiliki akses ke patch beberapa minggu sebelum pengungkapan terkoordinasi hari ini dari Qualys dan diharapkan untuk merilis paket pkexec diperbarui mulai hari ini.

Ubuntu telah mendorong pembaruan untuk PolicyKit untuk mengatasi kerentanan dalam versi 14.04 dan 16.04 ESM (pemeliharaan keamanan diperpanjang) serta dalam versi yang lebih baru 18.04, 20.04, dan 21.04. Pengguna hanya perlu menjalankan pembaruan sistem standar dan kemudian me-reboot komputer agar perubahan berlaku.

Red Hat juga telah memberikan pembaruan keamanan untuk polkit pada workstation dan produk Enterprise untuk arsitektur yang didukung, serta untuk dukungan siklus hidup yang diperpanjang, TUS, dan AUS.

Mitigasi sementara untuk sistem operasi yang belum mendorong patch adalah untuk melucuti hak baca / tulis dengan perintah berikut:
chmod 0755 /usr/bin/pkexec

Pengguna yang ingin mencari tanda-tanda eksploitasi PwnKit dapat melakukannya dengan memeriksa log untuk “Nilai untuk variabel SHELL tidak ditemukan file / etc / shells” atau “Nilai untuk variabel lingkungan […] berisi konten yang mencurigakan.”

Namun, Qualys mencatat bahwa mengeksploitasi PwnKit adalah mungkin tanpa meninggalkan jejak.

Tahun lalu, peneliti GitHub Security Lab Kevin Backhouse menemukan kerentanan eskalasi hak istimewa lama lainnya yang mempengaruhi Polkit.

Bug telah hadir selama tujuh tahun, sejak versi 0.113 dari komponen dan mempengaruhi distro Linux populer termasuk RHEL 8, Fedora 21 (atau lebih baru), Ubuntu 20.04, dan versi debian yang tidak stabil (‘bullseye’) dan turunannya.

Pembaruan [25 Januari, 17:26 EST]: Menambahkan pemberitahuan keamanan pada PolicyKit / Polkit dari Ubuntu dan Red Hat.

Pembaruan [25 Januari, 17:43 EST]: Artikel diperbarui dengan informasi tentang kode eksploitasi proof-of-concept yang tersedia untuk umum.

Sumber: Bleepingcomputer

Backdoor Baru SysJoker Menargetkan Windows, macOS, dan Linux

by

Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.

Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.

Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.

Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.

Joker yang tidak suka menarik perhatian

Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.

Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:

  • mengambil SysJoker ZIP dari repositori GitHub,
  • unzip pada “C:ProgramDataRecoverySystem”,
  • mengeksekusi payload.

Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.

File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.

Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.

Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.

Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.

Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.

Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.

Deteksi dan pencegahan

Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.

Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.

Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.

Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).

Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.

Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:

https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:

  • Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
  • Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
  • Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.

Sumber: Bleepingcomputer

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Penyerang Log4j beralih untuk menyuntikkan penambang Monero melalui RMI

by

Beberapa pelaku ancaman yang mengeksploitasi kerentanan Apache Log4j telah beralih dari LDAP callback URL ke RMI atau bahkan menggunakan keduanya dalam satu permintaan untuk peluang keberhasilan maksimum.

Pergeseran ini merupakan perkembangan penting dalam serangan yang sedang berlangsung dan yang perlu diwaspadai oleh para Defender ketika mencoba mengamankan semua vektor potensial.

Untuk saat ini, tren ini diamati oleh pelaku ancaman yang ingin membajak sumber daya untuk penambangan Monero, tetapi yang lain dapat mengadopsinya kapan saja.

Sebagian besar serangan yang menargetkan kerentanan Log4j “Log4Shell” telah terjadi melalui layanan LDAP (Lightweight Directory Access Protocol).

Peralihan ke API RMI (Remote Method Invocation) tampaknya kontra-intuitif pada awalnya, mengingat mekanisme ini tunduk pada pemeriksaan dan batasan tambahan, tetapi tidak selalu demikian.

Beberapa versi JVM (Java Virtual Machine) tidak memiliki kebijakan yang ketat, dan karena itu, RMI terkadang dapat menjadi saluran yang lebih mudah untuk mencapai RCE (eksekusi kode jarak jauh) daripada LDAP.

Dalam serangan yang dilihat oleh Juniper Labs, pelaku ancaman tertarik untuk menambang Monero di server yang disusupi dan menyajikannya sebagai aktivitas yang hampir tidak berbahaya yang “tidak akan merugikan orang lain.”

Penambang menargetkan sistem Linux x84_64 dan menambahkan kegigihan melalui subsistem cron.

Meskipun sebagian besar serangan sejauh ini menargetkan sistem Linux, CheckPoint melaporkan bahwa analisnya menemukan executable Win32 pertama yang memanfaatkan Log4Shell, yang disebut ‘StealthLoader.’

Satu-satunya cara yang layak untuk mempertahankan diri dari apa yang telah menjadi salah satu kerentanan paling berpengaruh dalam sejarah baru-baru ini adalah dengan update Log4j ke versi 2.16.0.

Selain itu, admin harus mengawasi bagian keamanan Apache untuk pengumuman rilis versi baru dan segera menerapkannya.

Untuk panduan mitigasi dan sumber informasi teknis lengkap, lihat halaman detail CISA di Log4Shell.

Selengkapnya: Bleeping Computer

Malware Linux Baru Bersembunyi di Cron Jobs Dengan Tanggal yang Tidak Valid

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru untuk Linux yang membuat profil hampir tidak terlihat dengan bersembunyi di tugas yang dijadwalkan untuk dieksekusi pada hari yang tidak ada, 31 Februari.

Dijuluki CronRAT, malware saat ini menargetkan toko web dan memungkinkan penyerang mencuri data kartu kredit dengan menggunakan skimmer pembayaran online di server Linux.

Dicirikan oleh kecerdikan dan kecanggihan, sejauh menyangkut malware untuk toko online, CronRAT tidak terdeteksi oleh banyak mesin antivirus.

CronRAT menyalahgunakan sistem penjadwalan tugas Linux, cron, yang memungkinkan penjadwalan tugas berjalan pada hari yang tidak ada dalam kalender, seperti 31 Februari.

Sistem cron Linux menerima spesifikasi tanggal selama mereka memiliki format yang valid, meskipun hari tidak ada di kalender – yang berarti bahwa tugas yang dijadwalkan tidak akan dijalankan.

Inilah yang diandalkan CronRAT untuk mencapai silumannya. Sebuah laporan hari ini dari perusahaan keamanan siber Belanda Sansec menjelaskan bahwa mereka menyembunyikan “program Bash yang canggih” dalam nama tugas yang dijadwalkan.

“CronRAT menambahkan sejumlah tugas ke crontab dengan spesifikasi tanggal yang aneh: 52 23 31 2 3. Baris-baris ini valid secara sintaksis, tetapi akan menghasilkan kesalahan waktu proses saat dijalankan. Namun, hal ini tidak akan pernah terjadi karena mereka dijadwalkan untuk berjalan pada tanggal 31 Februari,” jelas Peneliti Sansec.

Payload dikaburkan melalui beberapa lapisan kompresi dan pengkodean Base64. Dibersihkan, kode tersebut mencakup perintah untuk penghancuran diri, modulasi waktu, dan protokol khusus yang memungkinkan komunikasi dengan server jarak jauh.

Sansec mencatat bahwa teknik eksekusi baru CronRAT juga melewati algoritma pendeteksiannya, eComscan, dan para peneliti harus menulis ulang untuk menangkap ancaman baru.

Selengkapnya: Bleeping Computer