DDoSia Berkembang dengan Enkripsi, Sasar Banyak Lintas Platform
Berita Cybersecurity, DDoSia Github - Serangan DDoSia Menggunakan Versi Baru dengan Mekanisme Penyembunyian Lebih Canggih. Developer DDoSia telah merilis versi baru yang menggabungkan mekanisme baru untuk mendapatkan daftar target yang akan diserang dengan permintaan HTTP sampah dalam upaya untuk menjatuhkan situs-situs tersebut.
Varian terbaru ini ditulis dalam bahasa pemrograman Golang dan "mengimplementasikan mekanisme keamanan tambahan untuk menyembunyikan daftar target, yang dikirimkan dari [command-and-control] kepada pengguna," kata perusahaan cybersecurity Sekoia dalam postingan blognya.
DDoSia dikaitkan dengan kelompok hacker pro-Rusia bernama NoName(057)16. Diluncurkan pada tahun 2022 sebagai penerus botnet Bobik, alat serangan ini dirancang untuk melakukan serangan denial-of-service service (DDoS) terhadap target utamanya yang terletak di Eropa, Australia, Kanada, dan Jepang.
Lituania, Ukraina, Polandia, Italia, Ceko, Denmark, Latvia, Prancis, Inggris, dan Swiss muncul sebagai negara-negara yang paling sering diserang dalam rentang waktu antara 8 Mei hingga 26 Juni 2023. Sebanyak 486 situs web berbeda terkena dampak serangan ini.
Implementasi DDoSia menggunakan Python dan Go telah ditemukan hingga saat ini, menjadikannya program lintas platform yang dapat digunakan di sistem Windows, Linux, dan macOS.
"DDoSia adalah aplikasi multithreaded yang melakukan serangan denial-of-service terhadap situs target dengan mengeluarkan permintaan jaringan secara berulang," jelas SentinelOne dalam analisis yang dipublikasikan pada Januari 2023. "DDoSia mengeluarkan permintaan sesuai dengan instruksi yang ada dalam file konfigurasi yang malware terima dari server C2 saat dijalankan."
DDoSia didistribusikan melalui proses yang sepenuhnya otomatis di Telegram yang memungkinkan individu untuk mendaftar inisiatif crowdsourcing dengan membayar dengan cryptocurrency dan menerima arsip ZIP yang berisi alat serangan.
Yang menarik dari versi baru ini adalah penggunaan enkripsi untuk menyamarkan daftar target yang akan diserang, menunjukkan bahwa alat ini secara aktif dikelola oleh para pengelolanya.
"NoName057(16) berusaha untuk membuat malware mereka kompatibel dengan banyak sistem operasi, yang hampir pasti mencerminkan niat mereka untuk membuat malware mereka tersedia bagi sejumlah besar pengguna dan mengakibatkan penargetan pada kelompok korban yang lebih luas," kata Sekoia.
Perkembangan ini datang ketika U.S. Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan tentang serangan denial-of-service (DoS) dan DDoS yang ditargetkan terhadap beberapa organisasi di berbagai sektor.
"Serangan-serangan ini dapat menghabiskan waktu dan uang organisasi dan dapat menyebabkan kerugian reputasi ketika sumber daya dan layanan menjadi tidak dapat diakses," kata CISA dalam buletinnya.
Meskipun CISA tidak memberikan rincian tambahan, peringatan tersebut bersamaan dengan klaim yang dibuat oleh Anonymous Sudan di saluran Telegram mereka bahwa mereka telah berhasil menyerang situs web U.S. Department of Commerce, Social Security Administration (SSA), dan Electronic Federal Tax Payment System (EFTPS).
Anonymous Sudan menarik perhatian bulan lalu karena melakukan serangan DDoS Layer 7 terhadap berbagai layanan Microsoft, termasuk OneDrive, Outlook, dan portal web Azure. Perusahaan teknologi tersebut melacak serangan ini dengan nama Storm-1359.
Kelompok peretas ini mengklaim bahwa mereka melakukan serangan siber dari Afrika atas nama umat Muslim yang tertindas di seluruh dunia. Namun, para peneliti keamanan cyber meyakini bahwa mereka adalah operasi pro-Kremlin yang tidak memiliki hubungan dengan Sudan dan merupakan anggota KillNet hacktivist group.
Dalam analisis yang dirilis pada 19 Juni 2023, vendor cybersecurity Australia, CyberCX, menggambarkan entitas tersebut sebagai "tabir asap untuk kepentingan Rusia." Situs web perusahaan tersebut sejak itu tidak dapat diakses, dengan pesan "403 Forbidden" untuk para pengunjung. Pelaku serangan mengaku bertanggung jawab atas serangan siber tersebut.
"Alasan serangan ini: untuk menghentikan penyebaran rumor tentang kami, dan Anda harus memberitahu kebenaran dan menghentikan investigasi yang kami sebut investigasi anjing," kata Anonymous Sudan dalam pesan yang diposting pada 22 Juni 2023.
Dalam sebuah laporan Bloomberg minggu lalu, Anonymous Sudan juga membantah keterkaitannya dengan Rusia, tetapi mengakui bahwa mereka memiliki minat yang serupa dan menyerang "semua hal yang bermusuhan terhadap Islam."
Peringatan terbaru dari CISA juga tidak luput dari perhatian grup tersebut. Pada tanggal 30 Juni 2023, mereka merespons peringatan tersebut dengan menyatakan: "Sebuah kelompok Sudan kecil dengan kemampuan terbatas telah memaksa 'pemerintahan terkuat' di dunia untuk menerbitkan artikel dan tweet tentang serangan-serangan kami."
Posting Komentar untuk "DDoSia Berkembang dengan Enkripsi, Sasar Banyak Lintas Platform "