Peretas Junior Menggunakan Tailscale dan OpenSSH untuk Menjaga Akses Setelah C2-nya Offline

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Seorang penyerang berbahasa Perancis membobol bisnis otomotif kecil Perancis, memasang keylogger, dan mencuri kredensial perbankan dan email.

Sebelum server perintah-dan-kontrolnya menjadi gelap, dia menginstal OpenSSH dan Tailscale pada mesin korban, membangun jalan kembali yang tidak dijalankan melalui C2 sama sekali. Ketika server Havoc offline keesokan harinya, aksesnya tidak. Delapan belas hari kemudian, C2 kembali, agennya terhubung kembali dengan sendirinya, dan dia melanjutkan.

Cato Networks menangkap seluruh operasi perintah demi perintah, 339 di antaranya selama 33 hari, setelah operator meninggalkan kunci SSH dan buku pedoman langkah demi langkah di keranjang penyimpanan terbuka. Tulisan tersebut, yang diterbitkan Selasa oleh peneliti Cato CTRL, Vitaly Simonovich, merupakan gambaran langka tentang intrusi dari keyboard operator dan bukan dari sisa-sisa forensik.

Aktor yang menangani "Poisson" bukanlah seorang APT. Peneliti mendeskripsikan operator junior yang terlihat seperti jadwal sekolah, aktif setelah jam 3 sore. CET dengan jeda tengah hari yang panjang, semuanya berjalan pada kit tingkat gratis: DuckDNS, Backblaze B2, dan VPS IONOS murah di Berlin. Keterampilan dagangnya tipis.

Apa yang ada di Thales. zip, dan apa yang dilakukan kedua program tersebut dalam 32 menit di mesin, adalah pertanyaan yang dibiarkan terbuka oleh Cato. Jawaban yang lebih penting: C2 tidak pernah menjadi intrusi, hanya salah satu cara untuk masuk ke dalamnya. Matikan dan biarkan OpenSSH, Tailscale, tugas terjadwal, dan keylogger tetap berjalan, dan penyerang masih memiliki jalan masuk kembali.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com