Slingshot Hacking Group

Salam sukses dan damai untuk semua… Kali ini, pertama kalinya saya mau share tentang dunia siber nih, hehe.. Sebagai awal, saya kasih kutipan ini ya.. Jadi tulisan ini diambil dari open source ya, so jangan ngira saya mengerti banyak tentang dunia siber.. 🙈 Dan mohon maaf saya ga nulis sumber dari mana saja.. intinya kalo mau gali informasi lebih lanjut, kudu sering-sering searching bisa via google atau mesin pencari lainnya. Oke 😁✌️

Harapannya, semoga beberapa artikel yang saya sampaikan tetang Tema ini dapat membantu atau menambah referensi bacaan bagi teman-teman yang menggeluti dunia IT dan bagi yang tertarik dengan dunia per-siber-an. Selamat membaca…

Jadi artikel ini mengenai salah satu hacking group yang bernama Slingshot Hacking Group. Slingshot merupakan hacking group yang menyebarkan advanced malware dengan cara melakukan hacking terhadap router, serangan tersebut dilakukan terhadap Timur Tengah dan Afrika. Slingshot pernah menyerang jaringan Latvia dengan memanfaatkan kerawanan pada hardware provider Mikrotik sebagai tahap awal injeksi vector agar spyware berada dalam komputer target tanpa ditahui target.

Dalam dokumen Vault 7, terdapat informasi terkait ChimayRed exploit (saat ini telah ada di Github) untuk menyerang router Mikrotik. Ketika celah router telah terbuka, penyerang mengganti salah satu file Dynamic Link Libraries (DDL) dengan sebuah file maliciuos, kemudian file tersebut secara langsung akan di-load oleh memori komputer target ketika target menjalankan software Winbox Loader. Berikut adalah proses serangan dari Slingshot:

Winbox Loader merupakan legitimate management tool yang didesain oleh Mikrotik untuk pengguna Window dengan tujuan mempermudah konfigurasi router, sehingga dapat langsung mengunduh file DLL dari router kemudian file tersebut dijalankan dalam sistem.

Tindakan tersebut adalah cara file malicious DLL dapat berjalan di komputer target dan terhubung ke remote server untuk mengunduh payload malware milik Slingshot.

Malware Slingshot terdiri dari 2 (dua) modul yaitu Cahnadr (modul kernel mode) dan GollumApp (modul user mode) yang dirancang untuk pengumpulan informasi, persistence, dan data exfiltration.

Modul Cahnadr (Ndriver) menggunakan bahasa C, modul ini berfungsi untuk menangani anti-debugging, fungsi rootkit dan sniffing, injeksi modul lainnya, serta komunikasi jaringan. Sedangkan GollumApp berfungsi untuk meng-capture screenshots, pengumpulan informasi terkait jaringan, mengambil password yang disimpan dalam web browser dan keylogger, serta melakukan maintain komunikasi dengan server remote Command and Center.

Penyerang memiliki kontrol penuh terhadap sistem yang telah terinfeksi karena GollumApp bekerja dalam kernel mode serta menjalankan proses baru dengan SYSTEM privileges. Korban dari Slingshot adalah individu dan organisasi Pemerintah seperti di Kenya, Yemen, Libya, Afghanistan, Irak, Tanzania, Jordan, Mauritius, Somalia, Republik Demokrasi Kongo, Turki, Sudan, dan Uni Arab Emirates.

Serangan malware pada router perlu menjadi perhatian nihm karena serangan tersebut juga berpotensi terjadi di Indonesia dengan menyerang baik secvara individu maupun instansi Pemerintah.

So, kudu lebih peduli dengan penggunaan perangkat yang digunakan ya… 😊😊😊

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.