Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Peringatan keamanan: Peretas menggunakan malware baru ini untuk menargetkan peralatan firewall

by

Peretas yang terkait dengan militer Rusia mengeksploitasi kerentanan keamanan di firewall untuk menyusup ke jaringan dan menginfeksi mereka dengan malware, memungkinkan mereka untuk mendapatkan akses dari jarak jauh.

Peringatan oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan Biro Investigasi Federal (FBI) telah merinci malware baru, Cyclops Blink, yang menghubungkannya ke Sandworm, operasi peretasan ofensif yang sebelumnya mereka tautkan ke GRU Rusia.

Analisis oleh NCSC menggambarkan Cyclops Blink sebagai “malware yang sangat canggih” yang telah “dikembangkan secara profesional”.

Cyclops Blink tampaknya menjadi pengganti VPNFilter, malware yang digunakan oleh kelompok peretas Rusia yang terkait dengan negara dalam serangan luas yang digunakan untuk mengkompromikan perangkat jaringan, terutama router, untuk mengakses jaringan.

Menurut NCSC, CISA, FBI dan NSA, Cyclops Blink telah aktif setidaknya sejak Juni 2019, dan seperti VPNFilter sebelumnya, penargetan digambarkan sebagai “tidak pandang bulu dan tersebar luas” dengan kemampuan untuk mendapatkan akses jarak jauh yang persisten ke jaringan.

Itu juga dapat mengunggah dan mengunduh file dari mesin yang terinfeksi dan bersifat modular, memungkinkan fungsionalitas baru ditambahkan ke malware yang sudah berjalan.

Serangan dunia maya terutama difokuskan pada perangkat firewall WatchGuard, tetapi agensi memperingatkan bahwa Sandworm mampu mengarahkan kembali malware untuk menyebarkannya melalui arsitektur dan firmware lain.

Cyclops Blink tetap ada saat reboot dan selama proses pembaruan firmware yang sah. Ini menargetkan perangkat WatchGuard yang dikonfigurasi ulang dari pengaturan default pabrikan untuk membuka antarmuka manajemen jarak jauh ke akses eksternal.

Infeksi tidak berarti organisasi adalah target utama, tetapi mungkin saja mesin yang terinfeksi dapat digunakan untuk melakukan serangan tambahan.

NCSC mendesak organisasi yang terkena dampak untuk mengambil langkah-langkah untuk menghapus malware, yang telah dirinci oleh WatchGuard.

NCSC memperingatkan bahwa setiap kata sandi yang ada pada perangkat yang terinfeksi oleh Cyclops Blink harus dianggap telah disusupi dan harus diubah.

Saran lain tentang melindungi jaringan dari serangan dunia maya termasuk menghindari paparan antarmuka manajemen perangkat jaringan ke internet, menjaga perangkat tetap up to date dengan patch keamanan terbaru dan menggunakan otentikasi multi-faktor.

Sumber :

NIST mengusulkan model untuk menilai strategi investasi keamanan siber dalam keamanan jaringan

by

NIST dan peneliti universitas telah mengusulkan model komputasi baru untuk menilai biaya keamanan siber dalam perlindungan jaringan.

Jaringan perusahaan saat ini sering menyediakan permukaan serangan yang luas, termasuk perangkat Internet of Things (IoT), produk seluler, alat kerja jarak jauh, layanan lokal dan luar, dan sistem cloud.

Mungkin menjadi tantangan bagi bisnis untuk mengetahui area terpenting dalam hal investasi keamanan siber, tetapi model komputasi baru dapat menghilangkan beberapa tebakan.

Ditulis oleh peneliti US National Institute of Standards and Technology (NIST) Van Sy Mai, Richard La, dan Abdella Battou, makalah baru yang diterbitkan di IEEE/ACM Transactions on Networking, berjudul “Optimal Cybersecurity Investments in Large Networks Using SIS Model: Algorithm Design ,” mengusulkan “cara untuk menentukan investasi optimal yang diperlukan untuk meminimalkan biaya pengamanan jaringan ini, menyediakan pemulihan dari infeksi dan memperbaiki kerusakan mereka.”

Algoritme dirancang dengan pelacakan pandemi dan penyakit sebagai inspirasi. Virus dapat menyebar melalui populasi yang tidak memiliki kekebalan melalui kontak sosial, dan virus digital juga dapat menyebar melalui jaringan dan titik kontak sistem-ke-sistem jika tidak ada perlindungan.

Model ini menggunakan kumpulan data berdasarkan perilaku jangka panjang jaringan untuk menganalisis sistem jaringan besar dan area risiko untuk menghasilkan metrik kinerja utama.

Sedangkan pelacakan tingkat vaksin dapat digunakan untuk mengukur dampak perlindungan pada tingkat risiko dan penyebaran pandemi, dalam penelitian ini, biaya keamanan rata-rata waktu dikenakan dalam melindungi elemen jaringan yang berbeda, dengan tujuan keseluruhan adalah pengembangan keamanan siber. strategi investasi.

Model “susceptible-infected-susceptible” (SIS) para peneliti mempertimbangkan investasi, kerugian ekonomi, dan persyaratan pemulihan yang disebabkan oleh infeksi malware.

Empat algoritme menilai kemungkinan jaringan dilanggar, kemungkinan tingkat penyebaran, berapa lama — dan berapa biayanya — untuk memperbaiki kerusakan dan biaya yang terkait dengan pemulihan penuh.

Penilaian ini kemudian dibandingkan dengan strategi investasi model, termasuk pemantauan dan diagnostik jaringan, untuk menghasilkan rekomendasi untuk area ‘optimal’ yang harus dikeluarkan untuk melindungi jaringan.

Studi ini mungkin menyoroti bagaimana pembelajaran mesin dapat dimanfaatkan untuk memberikan landasan bagi investasi keamanan siber di masa depan. Itu juga bisa menjadi alat yang berharga bagi pengguna perusahaan di masa depan, yang menghadapi biaya rata-rata setidaknya $ 4 juta karena pelanggaran data hari ini.

Dalam berita terkait bulan ini, NIST telah bekerja pada pelabelan produk yang ditingkatkan untuk perangkat dan perangkat lunak IoT untuk meningkatkan pendidikan keamanan siber dan untuk membantu konsumen membuat pilihan yang lebih tepat.

Sumber : ZDnet

Server Microsoft SQL Rentan yang ditargetkan dengan Cobalt Strike

by

Analis ancaman telah mengamati gelombang serangan baru yang memasang suar Cobalt Strike pada Microsoft SQL Server yang rentan, yang mengarah ke infiltrasi yang lebih dalam dan infeksi malware berikutnya.

Serangan dimulai dengan pelaku ancaman memindai server dengan port TCP terbuka 1433, yang kemungkinan besar merupakan server MS-SQL yang menghadap publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.

Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat mereka menjatuhkan penambang koin seperti Lemon Duck, KingMiner, dan Vollgar. Selain itu, aktor ancaman mem-backdoor server dengan Cobalt Strike untuk membangun kegigihan dan melakukan gerakan lateral.

Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi.

Proses yang mengunduh Cobalt Strike (ASEC)

Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang sambil tetap tersembunyi di dalam file pustaka sistem.

Kode dan string yang digunakan untuk menodai dll (ASEC)

Cobalt Strike adalah alat pengujian pena (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.

Alat senilai $3.500 per lisensi dimaksudkan untuk membantu peretas etis dan tim merah mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sikap keamanan mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.

Sekarang digunakan oleh Squirrelwaffle, Emotet, operator malware, serangan oportunistik, grup penargetan Linux, musuh canggih, dan biasanya oleh geng ransomware saat melakukan serangan.

Alasan mengapa pelaku ancaman sangat menyalahgunakannya adalah fungsionalitasnya yang kaya yang mencakup hal-hal berikut:

  • Eksekusi perintah
  • Pencatatan kunci
  • Operasi file
  • Proksi SOCKS
  • Peningkatan hak istimewa
  • Mimikatz (mencuri kredensial)
  • Pemindaian port

Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan terdeteksi oleh alat keamanan berkurang, terutama dalam sistem yang dikelola dengan buruk.

Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.

Sumber : Bleeping Computer

Malware Android Xenomorph baru menargetkan pelanggan dari 56 bank

by

Malware baru bernama Xenomorph yang didistribusikan melalui Google Play Store telah menginfeksi lebih dari 50.000 perangkat Android untuk mencuri informasi perbankan.

Xenomorph menyasar pengguna puluhan lembaga keuangan di Spanyol, Portugal, Italia, dan Belgia. ThreatFabric menganalisis Xenomorph menemukan kode yang mirip dengan trojan perbankan Alien

Kesamaan kode antara Xenomorph dan Alien (ThreatFabric)

Trojan perbankan seperti Xenomorph bertujuan untuk mencuri informasi keuangan yang sensitif, mengambil alih akun, melakukan transaksi yang tidak sah, dan operator kemudian menjual data yang dicuri kepada pembeli yang tertarik.

Malware Xenomorph memasuki Google Play Store melalui aplikasi peningkatan kinerja umum seperti “Pembersih Cepat”, yang menghitung 50.000 instalasi.

Untuk menghindari penolakan selama peninjauan aplikasi dari Play Store, Fast Cleaner mengambil muatan setelah penginstalan, sehingga aplikasi bersih pada waktu pengiriman.

Pembersih Cepat di Play Store (ThreatFabric)

Fungsionalitas Xenomorph tidak sepenuhnya berkembang pada saat ini, karena trojan sedang dalam pengembangan yang berat. Namun, itu masih merupakan ancaman yang signifikan karena dapat memenuhi tujuan mencuri informasi dan menargetkan tidak kurang dari 56 bank Eropa yang berbeda.

Misalnya, malware dapat mencegat notifikasi, mencatat SMS, dan menggunakan suntikan untuk melakukan serangan overlay, sehingga malware tersebut sudah dapat mengambil kredensial dan kata sandi satu kali yang digunakan untuk melindungi rekening perbankan.

Setelah penginstalannya, tindakan pertama yang diambil oleh aplikasi adalah mengirim kembali daftar paket yang diinstal pada perangkat yang terinfeksi untuk memuat overlay yang sesuai.

Untuk mencapai hal di atas, malware meminta pemberian izin Layanan Aksesibilitas saat penginstalan, dan kemudian menyalahgunakan hak istimewa untuk memberikan izin tambahan sesuai kebutuhan.

Aplikasi Trojan yang meminta izin Aksesibilitas (ThreatFabric)

Contoh perintah yang ada dalam kode tetapi belum diimplementasikan mengacu pada fungsi keylogging dan pengumpulan data perilaku.

Mesin Aksesibilitasnya sangat detail, dan dirancang dengan pendekatan modular. Ini berisi modul untuk setiap tindakan spesifik yang diperlukan oleh bot, dan dapat dengan mudah diperluas untuk mendukung lebih banyak fungsi. Tidak mengherankan melihat kemampuan bot sport semi-ATS ini dalam waktu dekat.

ThreatFabric menilai bahwa Xenomorph bukanlah ancaman yang kuat saat ini karena statusnya “dalam pengembangan”. Namun, pada waktunya, ia dapat mencapai potensi penuhnya, “sebanding dengan trojan Perbankan Android modern lainnya.”

Sumber :

Malware CryptBot yang diubah yang disebarkan oleh situs perangkat lunak bajakan

by

Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.

CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.

Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.

Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.

Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.

Beberapa situs web yang baru-baru ini digunakan untuk distribusi CryptoBot
Sumber: Ahn Lab

Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.

Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.

Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.

Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.

Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.

Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.

Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.

Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.

Perbandingan sistem penemuan pathname (kanan baru) – ASEC

Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.

Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.

Sumber : Bleeping Computer

Peretas menyelinap ke obrolan Microsoft Teams untuk mendistribusikan malware

by

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Para peneliti di Avanan menemukan bahwa peretas mulai menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan di platform komunikasi Microsoft Teams.

Serangan dimulai pada bulan Januari, perusahaan mengatakan dalam sebuah laporan hari ini, dan aktor ancaman memasukkan dalam obrolan file yang dapat dieksekusi yang disebut “User Centric” untuk mengelabui pengguna agar menjalankannya. Setelah dijalankan, malware menulis data ke dalam registri sistem, menginstal DLL dan membuat kegigihan pada mesin Windows.

Metode yang digunakan untuk mendapatkan akses ke akun Teams masih belum jelas tetapi beberapa kemungkinan termasuk mencuri kredensial untuk email atau Microsoft 365 melalui phishing atau membahayakan organisasi mitra.

Analisis otomatis dari malware yang didistribusikan dengan cara ini menunjukkan bahwa trojan dapat membangun kegigihan melalui kunci Windows Registry Run atau dengan membuat entri di folder startup.

Itu juga mengumpulkan informasi terperinci tentang sistem operasi dan perangkat keras yang dijalankannya, bersama dengan status keamanan mesin berdasarkan versi OS dan tambalan yang diinstal.

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Lebih dari 270 juta pengguna mengandalkan Microsoft Teams setiap bulan, banyak dari mereka mempercayai platform secara implisit, meskipun tidak ada perlindungan terhadap file berbahaya.

Perusahaan menganalisis data dari rumah sakit yang menggunakan Teams dan menemukan bahwa dokter menggunakan platform untuk berbagi informasi medis tanpa batas.

Sementara individu biasanya curiga terhadap informasi yang diterima melalui email, karena pelatihan kesadaran phishing email, mereka tidak menunjukkan kehati-hatian dengan file yang diterima melalui Teams.

Selain itu, Teams menyediakan kemampuan akses tamu dan eksternal yang memungkinkan kolaborasi dengan orang-orang di luar perusahaan. Avanan mengatakan bahwa undangan ini biasanya dipenuhi dengan sedikit pengawasan.

Para peneliti mengatakan bahwa masalah ini diperparah oleh “fakta bahwa perlindungan default Teams kurang, karena pemindaian tautan dan file berbahaya terbatas” dan “banyak solusi keamanan email tidak menawarkan perlindungan yang kuat untuk Teams.”

Untuk mempertahankan diri dari serangan semacam itu, Avanan merekomendasikan hal berikut:

• Menerapkan perlindungan yang mengunduh semua file di kotak pasir dan memeriksanya untuk konten berbahaya
• Terapkan keamanan suite lengkap yang kuat yang mengamankan semua lini komunikasi bisnis, termasuk Teams
• Dorong pengguna akhir untuk menghubungi TI saat melihat file yang tidak dikenal

Sumber :

Varian Malware MyloBot Baru – Mengirim Email Sextortion Menuntut Bitcoin

by

Varian MyloBot Malware baru mengirimkan email sextortion yang menuntut korban untuk membayar $2.732 dalam bentuk Bitcoin. Awalnya MyloBot muncul pada tahun 2018 dan dikenal dengan berbagai kemampuan anti-debugging yang canggih dan teknik propagasi untuk mengubah mesin yang terinfeksi menjadi botnet. Selain itu, ia juga menghapus jejak malware pesaing lainnya dari sistem.

Malware ini memiliki beberapa kemampuan luar biasa untuk tetap menyamar dan menghindari deteksi termasuk penundaan 14 hari sebelum dapat mengakses server perintah dan kontrolnya. Selain itu, ia juga dapat mengeksekusi binari berbahaya langsung dari memori.

Teknik pelubangan proses membantu MyloBot memanfaatkan kode serangan saat disuntikkan ke dalam proses yang ditangguhkan dan dilubangi. Ini berhasil menghindari pertahanan berbasis proses dan mencapainya dengan membuka pemetaan memori yang dialokasikan untuk proses langsung. Kemudian menggantinya dengan kode arbitrer yang akan dieksekusi, dalam hal ini, file sumber daya yang didekodekan.

Menurut laporan peneliti Minerva Labs Natalie Zargarov, “Tahap kedua yang dapat dieksekusi kemudian membuat folder baru di bawah C:\ProgramData. Itu mencari svchost.exe di bawah direktori sistem dan menjalankannya dalam keadaan ditangguhkan. Menggunakan teknik injeksi APC, ia menyuntikkan dirinya ke dalam proses svchost.exe yang muncul.”

Seperti proses pengosongan, injeksi APC adalah teknik injeksi proses yang memungkinkan penyisipan kode berbahaya ke dalam proses korban yang ada melalui antrian asynchronous procedure call (APC).

Pada fase kedua, ia membangun kegigihan pada host yang disusupi dan mendapatkan pijakan, dan menggunakannya sebagai batu loncatan untuk membangun komunikasi dengan server jarak jauh untuk mengambil dan menjalankan muatan. Yang memungkinkannya untuk memecahkan kode dan menjalankan malware tahap akhir.

Malware MyloBot dirancang untuk menyalahgunakan titik akhir untuk mengirim pesan pemerasan yang menyinggung perilaku online penerima. Ini termasuk mengunjungi situs porno dan mengancam akan membocorkan video yang diduga direkam dengan membobol webcam komputer mereka.

Menurut peneliti Minerva Labs, ia juga memiliki kemampuan untuk mengunduh file tambahan, menunjukkan bahwa pelaku ancaman meninggalkan pintu belakang untuk melakukan serangan lebih lanjut.

Zargarov lebih lanjut menambahkan, “Aktor ancaman ini mengalami banyak masalah untuk menjatuhkan malware dan membuatnya tidak terdeteksi, hanya untuk menggunakannya sebagai pengirim surat pemerasan. Botnet sangat berbahaya karena ancaman mendatang yang tidak diketahui ini. Itu bisa dengan mudah menjatuhkan dan mengeksekusi ransomware, spyware, worm, atau ancaman lain di semua titik akhir yang terinfeksi.”

Sumber : TechnoidHost

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

by

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost