Peneliti keamanan siber telah menandai penemuan alat tim merah pasca-eksploitasi baru yang disebut Terpecah di alam liar.
Unit 42 Palo Alto Networks membagikan temuannya setelah menemukan program tersebut pada beberapa sistem pelanggan.
“Ia memiliki serangkaian fitur standar yang umum ditemukan dalam alat uji penetrasi dan pengembangnya menciptakannya menggunakan bahasa pemrograman Rust,” kata Dominik Reichel dari Unit 42. “Meskipun Splinter tidak secanggih alat pascaeksploitasi terkenal lainnya seperti Cobalt Strike, ia tetap menghadirkan potensi ancaman bagi organisasi jika disalahgunakan.”
Alat uji penetrasi sering digunakan untuk operasi tim merah guna menandai potensi masalah keamanan dalam jaringan perusahaan. Namun, alat simulasi musuh seperti itu juga dapat digunakan sebagai senjata oleh pelaku ancaman untuk keuntungan mereka.
Unit 42 mengatakan belum mendeteksi aktivitas pelaku ancaman apa pun yang terkait dengan perangkat Splinter. Belum ada informasi tentang siapa yang mengembangkan perangkat tersebut.
Artefak yang digali oleh firma keamanan siber tersebut mengungkapkan bahwa artefak tersebut “sangat besar,” berukuran sekitar 7 MB, terutama karena adanya 61 peti Rust di dalamnya.
Splinter tidak berbeda dengan kerangka kerja pasca-eksploitasi lainnya karena dilengkapi dengan konfigurasi yang menyertakan informasi tentang server perintah-dan-kontrol (C2), yang diurai untuk membuat kontak dengan server menggunakan HTTPS.
“Implan splinter dikontrol oleh model berbasis tugas, yang umum di antara kerangka kerja pascaeksploitasi,” catat Reichel. “Ia memperoleh tugasnya dari server C2 yang telah ditetapkan oleh penyerang.”
Beberapa fungsi alat tersebut antara lain menjalankan perintah Windows, menjalankan modul melalui injeksi proses jarak jauh, mengunggah dan mengunduh berkas, mengumpulkan info akun layanan cloud, dan menghapus dirinya sendiri dari sistem.
“Meningkatnya keragaman ini menggarisbawahi pentingnya terus mengikuti perkembangan kemampuan pencegahan dan deteksi, karena penjahat cenderung mengadopsi teknik apa pun yang efektif untuk membahayakan organisasi,” kata Reichel.
Pengungkapan tersebut terjadi saat Deep Instinct merinci dua metode serangan yang dapat dimanfaatkan oleh pelaku ancaman untuk mencapai injeksi kode tersembunyi dan peningkatan hak istimewa dengan memanfaatkan antarmuka RPC di Microsoft Office dan shim berbahaya.
“Kami menerapkan shim berbahaya dalam suatu proses tanpa mendaftarkan berkas SDB pada sistem,” kata peneliti Ron Ben-Yizhak dan David Shandalov. “Kami secara efektif melewati deteksi EDR dengan menulis ke proses anak dan memuat DLL target dari proses anak yang ditangguhkan sebelum kait EDR dapat dibuat.”
Pada bulan Juli 2024, Check Point juga mengungkap teknik injeksi proses baru yang disebut Thread Name-Calling yang memungkinkan penanaman shellcode ke dalam proses yang sedang berjalan dengan menyalahgunakan API untuk deskripsi thread sambil melewati produk perlindungan titik akhir.
“Seiring bertambahnya API baru ke Windows, muncul pula ide-ide baru untuk teknik injeksi,” kata peneliti keamanan Aleksandra “Hasherezade” Doniec.
“Thread Name-Calling menggunakan beberapa API yang relatif baru. Namun, tidak dapat dihindari penggabungan komponen lama yang terkenal, seperti injeksi APC – API yang harus selalu dianggap sebagai ancaman potensial. Demikian pula, manipulasi hak akses dalam proses jarak jauh adalah aktivitas yang mencurigakan.”