Artikel

Malware Tor menjadi alat ransomware yang populer

malware-tor

Malware Tor: Para peneliti di Sophos Labs telah melacak alat ransomware baru yang tersedia di forum peretasan bawah tanah yang telah berevolusi menjadi proxy Tor dan alat remote control yang sekarang beredar di alam liar.

SystemBC alat ini dan berfungsi sebagai backdoor yang menyediakan penyerang dengan koneksi terus-menerus ke sistem korban mereka.

Pengamatan pertama kali tahun lalu, ia bertindak sebagai proxy jaringan untuk komunikasi tersembunyi dan sebagai alat administrasi jarak jauh (RAT). Yang mampu mengeksekusi perintah Windows serta memberikan dan mengeksekusi skrip. Pustaka tautan yang dapat tereksekusi dan dinamis (DLL) berbahaya.

SystemBC telah berevolusi selama setahun terakhir dari bertindak sebagai jaringan pribadi virtual (VPN). Melalui proxy SOCKS5 hingga menggunakan jaringan Tor untuk mengenkripsi dan menyembunyikan tujuan lalu lintas komando dan kontrol.

Malware Tor

SistemBC RAT (Malware Tor)

Selama penyelidikan baru-baru ini, tim Respon Cepat SOPhos MTR telah melihat SystemBC berguna dalam serangan ransomware Ryuk dan Egregor baru-baru ini. Meskipun sering digunakan bersama alat pasca-eksploitasi lainnya seperti Cobalt Strike.

Namun, dalam beberapa kasus, pengerahan SystemBC RAT ke server setelah penyerang mendapatkan akses ke kredensial administratif dan bergerak lebih dalam ke target jaringan.

Alat ini akan menyalin dan menjadwalkan sebagai layanan tetapi langkah ini akan terlewati. Jika perangkat lunak antivirus Emsisoft terdeteksi pada sistem korban.

SystemBC kemudian membuat koneksi ke server perintah dan kontrol menggunakan koneksi suar ke server jarak jauh yang berbasis di salah satu dari dua domain berkode keras.

Dalam sebuah posting blog baru, peneliti ancaman senior Sean Gallagher dan peneliti ancaman Sivagnanam Gn di Sophos memberikan wawasan lebih lanjut tentang bagaimana SystemBC sekarang terhubung ke jaringan Tor, mengatakan:

“Elemen komunikasi Tor dari SystemBC tampaknya berdasarkan pada mini-tor. Perpustakaan sumber terbuka untuk konektivitas ringan ke jaringan anonim Tor.

Kode mini-Tor tidak terduplikasi di SystemBC (karena mini-Tor tertulis dalam C++ dan SystemBC kompilasi dari C). Tetapi implementasi bot dari klien Tor sangat menyerupai implementasi yang berguna dalam program open-source. Termasuk penggunaan luas fungsi Windows Crypto Next Gen (CNG) API’s Base Crypto (BCrypt).

Karena SystemBC sering berfungsi sebagai alat di luar rak, kemungkinan penyerang ransomware memperolehnya dari operasi malware-as-a-service di forum bawah tanah.

Alat ini telah menjadi semakin populer di kalangan penjahat cyber. Karena fakta bahwa itu memungkinkan beberapa target untuk pengerjaan pada saat yang sama.

Comments

Most Popular

To Top