Alat post-exploitation ‘Splinter’ ditemukan, jadi ancaman baru bagi keamanan siber

Peneliti keamanan siber dari Unit 42 mengidentifikasi alat post-exploitation baru yang disebut Splinter. Alat ini ditemukan menggunakan alat pemindaian memori Advanced WildFire dan dilaporkan telah diinstal pada beberapa sistem pelanggan, menekankan pentingnya pemantauan dan deteksi terus-menerus terhadap alat-alat semacam ini.

Dilansir dari Cybersecurity News (22/9), Splinter dikembangkan dengan bahasa pemrograman Rust, yang dikenal memiliki fitur keamanan memori. Alat ini dirancang untuk mensimulasikan akses jangka panjang pada sistem target, memperluas akses awal yang diperoleh melalui berbagai metode.

Menurut laporan, Splinter menggunakan struktur data konfigurasi dalam format JSON, yang dikenal sebagai ImplantConfig, yang berisi informasi penting untuk operasionalnya, termasuk ID implan, ID endpoint target, alamat server command and control (C2), dan kredensial login. Alat ini beroperasi berdasarkan model tugas, di mana perintah-perintah dikirim dari server C2 yang dikendalikan oleh pelaku.

Beberapa tugas yang dapat dieksekusi oleh Splinter mencakup menjalankan perintah Windows, mengunggah dan mengunduh file, mengumpulkan informasi dari akun layanan cloud, hingga menghapus dirinya sendiri dari sistem yang disusupi. Selain itu, alat ini menggunakan metode process injection untuk menyuntikkan kode shell dan payload ke proses lain yang berjalan di sistem.

Temuan Splinter memperlihatkan semakin beragamnya alat red team yang dapat disalahgunakan oleh pelaku kejahatan untuk mengkompromikan sistem organisasi. Bahasa Rust yang digunakan, dengan lapisan kode runtime yang kompleks, membuat analisis terhadap alat ini menjadi tantangan bagi para insinyur reverse malware. Ukurannya yang cukup besar, sekitar 7 MB, dikarenakan adanya perpustakaan eksternal yang dihubungkan secara statis dalam file tersebut.