
Peneliti keamanan siber telah merinci serangan yang melibatkan pelaku ancaman yang memanfaatkan pintu belakang berbasis Python untuk mempertahankan akses persisten ke titik akhir yang disusupi dan kemudian memanfaatkan akses ini untuk menyebarkan ransomware RansomHub ke seluruh jaringan target.
Menurut GuidePoint Security, akses awal dikatakan telah difasilitasi melalui malware JavaScript yang diunduh bernama SocGholish (alias FakeUpdates), yang diketahui didistribusikan melalui kampanye drive-by yang mengelabui pengguna yang tidak menaruh curiga agar mengunduh pembaruan browser web palsu.
Serangan semacam ini biasanya melibatkan penggunaan situs web sah namun terinfeksi, sehingga korban dialihkan dari hasil mesin pencari menggunakan teknik black hat Search Engine Optimization (SEO). Setelah eksekusi, SocGholish menjalin kontak dengan server yang dikendalikan penyerang untuk mengambil muatan sekunder.

Baru-baru ini pada tahun lalu, kampanye SocGholish menargetkan situs WordPress dengan mengandalkan versi lama dari plugin SEO populer seperti Yoast (CVE-2024-4984, skor CVSS: 6.4) dan Rank Math PRO (CVE-2024-3665, skor CVSS: 6.4 ) untuk akses awal.
Dalam insiden yang diselidiki oleh GuidePoint Security, pintu belakang Python ditemukan dijatuhkan sekitar 20 menit setelah infeksi awal melalui SocGholish. Aktor ancaman kemudian melanjutkan untuk mengirimkan pintu belakang ke mesin lain yang terletak di jaringan yang sama selama pergerakan lateral melalui sesi RDP.
“Secara fungsional, skrip ini adalah proksi terbalik yang terhubung ke alamat IP yang dikodekan secara keras. Setelah skrip melewati jabat tangan perintah dan kontrol (C2) awal, skrip tersebut akan membuat terowongan yang sangat didasarkan pada protokol SOCKS5,” kata peneliti keamanan Andrew Nelson.
“Terowongan ini memungkinkan pelaku ancaman untuk bergerak secara lateral dalam jaringan yang disusupi menggunakan sistem korban sebagai proksi.”
Skrip Python, versi sebelumnya yang didokumentasikan oleh ReliaQuest pada Februari 2024, telah terdeteksi di alam liar sejak awal Desember 2023, saat mengalami “perubahan tingkat permukaan” yang bertujuan untuk meningkatkan metode kebingungan yang digunakan untuk menghindari deteksi.

GuidePoint juga mencatat bahwa skrip yang didekodekan telah dipoles dan ditulis dengan baik, yang menunjukkan bahwa pembuat malware sangat teliti dalam mempertahankan kode Python yang mudah dibaca dan diuji atau mengandalkan alat kecerdasan buatan (AI) untuk membantu tugas pengkodean.
“Dengan pengecualian kebingungan variabel lokal, kode dipecah menjadi kelas-kelas berbeda dengan nama metode dan variabel yang sangat deskriptif,” tambah Nelson. “Setiap metode juga memiliki penanganan kesalahan tingkat tinggi dan pesan debug yang panjang.”
Pintu belakang berbasis Python bukanlah satu-satunya prekursor yang terdeteksi dalam serangan ransomware. Seperti yang disoroti oleh Halcyon awal bulan ini, beberapa alat lain yang digunakan sebelum penyebaran ransomware mencakup alat yang bertanggung jawab untuk –
- Menonaktifkan solusi Deteksi dan Respons Titik Akhir (EDR) menggunakan EDRSilencer dan Backstab
- Mencuri kredensial menggunakan LaZagne
- Menyusupi akun email dengan memaksa kredensial menggunakan MailBruter
- Mempertahankan akses tersembunyi dan mengirimkan muatan tambahan menggunakan Sirefef dan Mediyes
Kampanye Ransomware juga diamati menargetkan bucket Amazon S3 dengan memanfaatkan Enkripsi Sisi Server Amazon Web Services dengan Kunci yang Diberikan Pelanggan (SSE-C) untuk mengenkripsi data korban. Aktivitas tersebut telah dikaitkan dengan aktor ancaman yang dijuluki Codefinger.
Selain mencegah pemulihan tanpa kunci yang dibuat, serangan ini menggunakan taktik tebusan mendesak di mana file ditandai untuk dihapus dalam waktu tujuh hari melalui S3 Object Lifecycle Management API untuk menekan korban agar membayar.

“Aktor ancaman Codefinger menyalahgunakan kunci AWS yang diungkapkan secara publik dengan izin untuk menulis dan membaca objek S3,” kata Halcyon. “Dengan memanfaatkan layanan asli AWS, mereka mencapai enkripsi dengan cara yang aman dan tidak dapat dipulihkan tanpa kerja sama mereka.”
Perkembangan ini terjadi ketika SlashNext mengatakan mereka telah menyaksikan lonjakan kampanye phishing “cepat” yang meniru teknik pemboman email kru ransomware Black Basta untuk membanjiri kotak masuk korban dengan lebih dari 1.100 pesan sah terkait buletin atau pemberitahuan pembayaran.
“Kemudian, ketika orang-orang merasa kewalahan, para penyerang masuk melalui panggilan telepon atau pesan Microsoft Teams, menyamar sebagai dukungan teknis perusahaan dengan perbaikan sederhana,” kata perusahaan itu.
“Mereka berbicara dengan percaya diri untuk mendapatkan kepercayaan, mengarahkan pengguna untuk menginstal perangkat lunak akses jarak jauh seperti TeamViewer atau AnyDesk. Begitu perangkat lunak tersebut ada di perangkat, penyerang akan menyelinap masuk secara diam-diam. Dari sana, mereka dapat menyebarkan program berbahaya atau menyelinap ke area lain di perangkat. jaringan, membersihkan jalur langsung ke data sensitif.”