{"id":3882,"date":"2024-04-25T10:42:55","date_gmt":"2024-04-25T03:42:55","guid":{"rendered":"https:\/\/csirt.perhutani.co.id\/?p=3882"},"modified":"2024-04-25T10:42:57","modified_gmt":"2024-04-25T03:42:57","slug":"peneliti-keamanan-menjelaskan-teknik-serangan-multistage-attack-hijacking-dengan-ssload-dan-cobalt-strike","status":"publish","type":"post","link":"https:\/\/csirt.perhutani.co.id\/?p=3882","title":{"rendered":"Peneliti Keamanan Menjelaskan Teknik Serangan Multistage Attack Hijacking dengan SSLoad dan Cobalt Strike"},"content":{"rendered":"\n<p><strong>The Hacker News<\/strong> &#8211; Peneliti keamanan siber telah menemukan kampanye serangan yang memanfaatkan email phishing untuk mengirimkan malware yang disebut <strong>SSLoad<\/strong>.<\/p>\n\n\n\n<p>Kampanye tersebut, dengan nama kode <strong>FROZEN#SHADOW<\/strong> oleh Securonix, juga melibatkan penerapan <strong>Cobalt Strike<\/strong> dan perangkat lunak desktop jarak jauh <strong>ConnectWise ScreenConnect<\/strong>.<\/p>\n\n\n\n<p>\u201cSSLoad dirancang untuk menyusup ke sistem secara diam-diam, mengumpulkan informasi sensitif, dan mengirimkan temuannya kembali ke operatornya,\u201d kata peneliti keamanan Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov dalam laporan yang dibagikan kepada The Hacker News.<\/p>\n\n\n\n<p>&#8220;Saat berada di dalam sistem, SSLoad membuat beberapa pintu belakang dan muatan untuk menjaga persistensi dan menghindari deteksi.&#8221;<\/p>\n\n\n\n<p>Rantai serangan melibatkan penggunaan pesan<em> phishing <\/em>yang secara acak menargetkan organisasi di Asia, Eropa, dan Amerika, dengan email berisi tautan yang mengarah ke pengambilan file JavaScript yang memulai aliran infeksi.<\/p>\n\n\n\n<p>Awal bulan ini, Palo Alto Networks menemukan setidaknya dua metode berbeda yang digunakan SSLoad untuk didistribusikan, salah satunya melibatkan penggunaan formulir kontak situs web untuk menyematkan URL jebakan dan metode lainnya melibatkan dokumen Microsoft Word yang mendukung makro (<em>macro-enabled <\/em>Microsoft Word<em> documents<\/em>).<\/p>\n\n\n\n<p>Yang terakhir ini juga penting karena malware bertindak sebagai saluran untuk mengirimkan Cobalt Strike, sedangkan yang pertama telah digunakan untuk mengirimkan malware lain yang disebut Latrodectus, yang kemungkinan merupakan penerus IcedID.<\/p>\n\n\n\n<p>File JavaScript yang disembunyikan (&#8220;out_czlrh.js&#8221;), ketika diluncurkan dan dijalankan menggunakan wscript.exe, mengambil file penginstal MSI (&#8220;slack.msi&#8221;) dengan menghubungkan ke <em>network share<\/em> yang terletak di &#8220;\\\\wireoneinternet[.]info@ 80\\share\\&#8221; dan menjalankannya menggunakan msiexec.exe.<\/p>\n\n\n\n<p>Penginstal MSI disini berperan menghubungi domain yang dikendalikan penyerang untuk mengambil dan mengeksekusi muatan malware SSLoad menggunakan rundll32.exe, yang kemudian akan diarahkan ke server perintah dan kontrol (C2) bersama dengan informasi tentang sistem yang disusupi.<\/p>\n\n\n\n<p>Fase pengintaian awal membuka jalan bagi Cobalt Strike, perangkat lunak simulasi musuh yang sah, yang kemudian digunakan untuk mengunduh dan menginstal ScreenConnect, sehingga memungkinkan pelaku ancaman untuk mengambil alih host dari jarak jauh.<\/p>\n\n\n\n<p>\u201cDengan akses penuh ke sistem, pelaku ancaman mulai berusaha memperoleh kredensial dan mengumpulkan rincian sistem penting lainnya,\u201d kata para peneliti. \u201cPada tahap ini mereka mulai memindai host korban untuk mencari kredensial yang disimpan dalam file serta dokumen sensitif lainnya.\u201d<\/p>\n\n\n\n<p>Para penyerang juga terlihat beralih ke sistem lain di jaringan, termasuk pengontrol domain, yang pada akhirnya menyusup ke domain Windows korban dengan membuat akun administrator domain mereka sendiri.<\/p>\n\n\n\n<p>\u201cDengan tingkat akses ini, mereka bisa masuk ke mesin mana pun yang terhubung dalam domain tersebut,\u201d kata para peneliti. \u201cPada akhirnya, ini adalah skenario terburuk bagi organisasi mana pun karena tingkat kegigihan yang dicapai oleh para penyerang akan sangat memakan waktu dan mahal untuk melakukan pemulihan.\u201d<\/p>\n\n\n\n<p>Pengungkapan ini terjadi ketika AhnLab Security Intelligence Center (ASEC) mengungkapkan bahwa sistem Linux sedang terinfeksi trojan akses jarak jauh sumber terbuka yang disebut Puppy RAT.<\/p>\n\n\n\n<p>Sumber = <a href=\"https:\/\/thehackernews.com\/2024\/04\/researchers-detail-multistage-attack.html\" target=\"_blank\" rel=\"noopener\">The Hacker News<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"The Hacker News &#8211; Peneliti keamanan siber telah menemukan kampanye serangan yang memanfaatkan email phishing untuk mengirimkan malware&hellip;\n","protected":false},"author":1,"featured_media":3883,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"csco_singular_sidebar":"","csco_page_header_type":"standard","csco_appearance_grid":"","csco_page_load_nextpost":"","csco_post_video_location":[],"csco_post_video_location_hash":"","csco_post_video_url":"","csco_post_video_bg_start_time":0,"csco_post_video_bg_end_time":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-3882","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-berita","8":"cs-entry","9":"cs-video-wrap"},"jetpack_featured_media_url":"https:\/\/i0.wp.com\/csirt.perhutani.co.id\/wp-content\/uploads\/2024\/04\/hacke.webp?fit=728%2C380&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3882"}],"version-history":[{"count":10,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3882\/revisions"}],"predecessor-version":[{"id":3901,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3882\/revisions\/3901"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/media\/3883"}],"wp:attachment":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}