• posted by Admin Satker
• 53
• 21/01/2025 11:59:43

Peneliti keamanan mengungkapkan sebuah serangan yang menggunakan backdoor berbasis Python untuk mempertahankan akses berkelanjutan ke endpoint yang terkompromi, yang kemudian dimanfaatkan untuk menyebarkan ransomware RansomHub di seluruh jaringan korban. Akses pertama kali diperoleh melalui malware JavaScript yang dikenal sebagai SocGholish (atau FakeUpdates), yang menyebar melalui kampanye drive-by yang menipu pengguna untuk mengunduh pembaruan browser palsu. Setelah infeksi awal, backdoor Python dimasukkan sekitar 20 menit kemudian, memungkinkan penyerang bergerak lateral melalui jaringan korban menggunakan sesi RDP.

Skrip Python tersebut berfungsi sebagai proxy terbalik, menghubungkan ke alamat IP tertentu dan membuat terowongan berbasis protokol SOCKS5, yang memungkinkan penyerang untuk memanfaatkan sistem korban sebagai proxy dan bergerak lebih jauh dalam jaringan yang terinfeksi. Skrip ini memiliki kode yang sangat terstruktur dan dapat dibaca dengan baik, menunjukkan bahwa penulis malware tersebut sangat memperhatikan kualitas kode dan kemudahan pemeliharaan.

Serangan ini menunjukkan pola yang semakin canggih, dengan backdoor Python hanya menjadi salah satu alat yang digunakan sebelum ransomware disebarkan. Selain itu, alat-alat lain, seperti EDRSilencer untuk menonaktifkan deteksi endpoint dan LaZagne untuk mencuri kredensial, juga digunakan dalam proses serangan ini.

Sumber: https://thehackernews.com/2025/01/python-based-malware-powers-ransomhub.html