Pelaku ancaman mempromosikan kerangka kerja pasca-eksploitasi ‘Exfiltrator-22’ baru yang dirancang untuk menyebarkan ransomware di jaringan perusahaan sambil menghindari deteksi.
Analis ancaman di CYFIRMA mengklaim bahwa kerangka kerja baru ini dibuat oleh mantan afiliasi Lockbit 3.0 yang ahli dalam anti-analisis dan penghindaran pertahanan, menawarkan solusi yang kuat dengan imbalan biaya berlangganan.
Harga untuk Exfiltrator-22 berkisar antara $1.000 per bulan dan $5.000 untuk akses seumur hidup, menawarkan pembaruan dan dukungan berkelanjutan.
Pembeli kerangka diberikan panel admin yang dihosting di VPS (virtual private server) antipeluru dari mana mereka dapat mengontrol malware kerangka kerja dan mengeluarkan perintah ke sistem yang disusupi.
Versi pertama Exfiltrator-22 (EX-22) muncul di alam liar pada 27 November 2022, dan kira-kira sepuluh hari kemudian, penulisnya membuat saluran Telegram untuk mengiklankan kerangka tersebut ke penjahat dunia maya lainnya.
Pada akhir tahun, pelaku ancaman mengumumkan fitur baru yang membantu menyembunyikan lalu lintas pada perangkat yang disusupi, yang menunjukkan bahwa kerangka kerja tersebut sedang dalam pengembangan aktif.
Pada Januari 2023, EX-22 dianggap 87% siap oleh pembuatnya, dan harga langganan diumumkan, mengundang pengguna yang tertarik untuk membeli akses ke alat tersebut.
Pada 10 Februari 2023, pelaku ancaman memposting dua video demonstrasi di YouTube untuk menampilkan pergerakan lateral EX-22 dan kemampuan penyebaran ransomware.
Exfiltrator-22 fitur
EX-22 menyertakan fitur yang biasa ditemukan di toolkit pasca-eksploitasi lainnya, tetapi juga fitur tambahan yang diarahkan untuk menyebarkan ransomware dan pencurian data.
Fitur utama yang termasuk dalam kerangka adalah:
- Buat shell terbalik dengan hak istimewa yang lebih tinggi.
- Unggah file ke sistem yang dilanggar atau unduh file dari host ke C2.
- Aktifkan keylogger untuk menangkap input keyboard.
- Aktifkan modul ransomware untuk mengenkripsi file di perangkat yang terinfeksi.
- Tangkap tangkapan layar dari komputer korban.
- Mulai sesi VNC (Virtual Network Computing) langsung untuk akses waktu nyata pada perangkat yang disusupi.
- Dapatkan hak istimewa yang lebih tinggi pada perangkat yang terinfeksi.
- Tetapkan kegigihan di antara reboot sistem.
- Aktifkan modul worm yang menyebarkan malware ke perangkat lain di jaringan yang sama atau internet publik.
- Ekstrak data (kata sandi dan token) dari LSAAS (Layanan Subsistem Otoritas Keamanan Lokal).
- Hasilkan hash kriptografi file di host untuk membantu memantau lokasi file dan peristiwa perubahan konten secara dekat.
- Ambil daftar proses yang berjalan pada perangkat yang terinfeksi.
- Ekstrak token autentikasi dari sistem yang dilanggar.
Perintah di atas dikirim ke perangkat yang disusupi melalui program konsol Windows ‘EX22 Command & Control’.
Keluaran perintah ini kemudian dikembalikan ke server perintah dan kontrol dan ditampilkan langsung di aplikasi konsol, seperti yang ditunjukkan di bawah ini.
Melalui panel web layanan, penjahat dunia maya juga dapat mengatur tugas terjadwal, memperbarui agen ke versi baru, mengubah konfigurasi kampanye, atau membuat kampanye baru.
Ditautkan ke anggota ransomware LockBit
Tim CYFIRMA telah menemukan bukti bahwa afiliasi LockBit 3.0 atau anggota tim pengembangan operasi ransomware berada di belakang EX-22.
Pertama, mereka memperhatikan bahwa framework menggunakan teknik “domain fronting” yang sama yang terkait dengan LockBit dan plugin obfuscation TOR Meek, yang membantu menyembunyikan lalu lintas berbahaya di dalam koneksi HTTPS yang sah ke platform terkemuka.
Setelah penyelidikan lebih lanjut, CYFIRMA telah ditemukan bahwa EX-22 juga menggunakan infrastruktur C2 yang sama yang sebelumnya diekspos dalam sampel LockBit 3.0.
Sayangnya, Exfiltrator-22 tampaknya dibuat oleh pembuat malware berpengetahuan luas yang memiliki keterampilan untuk mengembangkan kerangka kerja mengelak.
Oleh karena itu, diharapkan dapat menghasilkan banyak minat dalam komunitas kejahatan dunia maya meskipun harganya mahal, secara alami menghasilkan pengembangan kode lebih lanjut dan peningkatan fitur.
