- Unit 42 Saw 4L4MD4R Disarankan melalui Toolshell
- The Crooks meminta Bitcoin senilai $ 500
- Toolshell adalah bug server Microsoft SharePoint yang ditambal pada akhir Juli
Risiko untuk bisnis yang belum menambal kerentanan toolshell terus tumbuh setelah laporan baru menunjukkan bahwa aktor ransomware juga bergabung dengan partai eksploitasi.
Para peneliti dari Cybersecurity Arm Palo Alto Network, Unit 42, mengatakan mereka mengamati aktor ancaman yang dikenal sebagai 4L4MD4R menggunakan toolshell untuk mendapatkan akses dan mencoba menggunakan encryptor.
Toolshell adalah nama panggilan untuk deserialisasi kerentanan data yang tidak diakui, yang baru-baru ini ditemukan dalam instance Microsoft SharePoint Server di tempat. Ini dilacak sebagai CVE-2025-53770, dan dikatakan mengizinkan eksekusi kode jarak jauh yang tidak diautentikasi, memberikan kontrol kepada penyerang atas sistem yang tidak ditandingi hanya dengan mengirimkan permintaan yang dibuat. Itu diberi skor keparahan 9,8/10 (kritis), dan ditambal pada akhir Juli 2025.
4L4MD4R telah bergabung dengan obrolan
Kurang dari dua minggu setelah Microsoft mengeluarkan mitigasi darurat, peneliti keamanan mulai memperhatikan peningkatan serangan, dan jumlah korban dalam ratusan.
“Ada banyak lagi, karena tidak semua vektor serangan telah meninggalkan artefak yang bisa kami pindai,” Eye Security memperingatkan pada saat itu.
Banyak organisasi terkenal menjadi korban serangan siber yang berbeda berkat cacat ini, termasuk Administrasi Keamanan Nuklir Nasional AS, Departemen Pendidikan, Departemen Pendapatan Florida, Majelis Umum Rhode Island, dan jaringan pemerintah di Eropa dan Timur Tengah.
Sekarang, pemain ransomware melompat ke kereta api toolshell juga. Menurut Unit 42, 4L4MD4R didasarkan pada kode open-source MAURI870. Itu terlihat pada 27 Juli, ketika para peneliti sedang menyelidiki serangan yang gagal.
“Analisis muatan 4L4MD4R mengungkapkan bahwa itu dikemas dan ditulis dalam Golang. Setelah dieksekusi, sampel mendekripsi muatan yang dienkripsi AES dalam memori, mengalokasikan memori untuk memuat file PE yang didekripsi, dan membuat utas baru untuk menjalankannya,” kata Unit 42.
Identitas, atau kemungkinan afiliasi nasional, kelompok ini tidak diketahui saat ini. Namun, para peneliti mengatakan para peretas menuntut pembayaran 0,005 Bitcoin, yang diterjemahkan menjadi sekitar $ 500.
Melalui Komputer yang meledakkan
