Seorang aktor ancaman persisten canggih (APT) China yang canggih mengeksploitasi kerentanan keamanan kritis dalam produk firewall Sophos yang terungkap awal tahun ini untuk menyusup ke target Asia Selatan yang tidak disebutkan namanya sebagai bagian dari serangan yang sangat bertarget.
“Penyerang mengimplementasikan[ed] backdoor shell web yang menarik, buat[d] bentuk kegigihan sekunder, dan akhirnya diluncurkan[ed] serangan terhadap staf pelanggan,” kata Volexity dalam sebuah laporan. “Serangan ini bertujuan untuk lebih jauh menembus server web yang dihosting cloud yang menghosting situs web organisasi yang menghadap publik.”
Cacat zero-day yang dimaksud dilacak sebagai CVE-2022-1040 (skor CVSS: 9,8), dan menyangkut kerentanan bypass otentikasi yang dapat dipersenjatai untuk mengeksekusi kode arbitrer dari jarak jauh. Ini mempengaruhi Sophos Firewall versi 18.5 MR3 (18.5.3) dan sebelumnya.
Perusahaan keamanan siber, yang mengeluarkan tambalan untuk cacat pada 25 Maret 2022, mencatat bahwa itu disalahgunakan untuk “menargetkan sekelompok kecil organisasi tertentu terutama di kawasan Asia Selatan” dan telah memberi tahu entitas yang terkena dampak secara langsung.
Sekarang menurut Volexity, bukti awal eksploitasi kelemahan dimulai pada 5 Maret 2022, ketika mendeteksi aktivitas jaringan anomali yang berasal dari Sophos Firewall pelanggan yang tidak disebutkan namanya yang menjalankan versi terbaru, hampir tiga minggu sebelum pengungkapan publik dari kerentanan.
“Penyerang menggunakan akses ke firewall untuk melakukan serangan man-in-the-middle (MitM),” kata para peneliti. “Penyerang menggunakan data yang dikumpulkan dari serangan MitM ini untuk mengkompromikan sistem tambahan di luar jaringan tempat firewall berada.”
Urutan infeksi setelah pelanggaran firewall lebih lanjut memerlukan backdooring komponen yang sah dari perangkat lunak keamanan dengan shell web Behinder yang dapat diakses dari jarak jauh dari URL yang dipilih oleh pelaku ancaman.
Patut dicatat bahwa web shell Behinder juga dimanfaatkan awal bulan ini oleh grup APT China dalam serangkaian intrusi terpisah yang mengeksploitasi kelemahan zero-day dalam sistem Atlassian Confluence Server (CVE-2022-26134).
Selain itu, penyerang dikatakan telah membuat akun pengguna VPN untuk memfasilitasi akses jarak jauh, sebelum melanjutkan untuk memodifikasi respons DNS untuk situs web yang ditargetkan secara khusus — terutama sistem manajemen konten (CMS) korban — dengan tujuan mencegat kredensial pengguna dan cookie sesi.
Akses ke cookie sesi kemudian melengkapi pihak jahat untuk mengendalikan situs WordPress dan menginstal web shell kedua yang dijuluki IceScorpion, dengan penyerang menggunakannya untuk menyebarkan tiga implan open-source di server web, termasuk PupyRAT, Pantegana, dan Sliver .
“DriftingCloud adalah aktor ancaman yang efektif, dilengkapi dengan baik, dan gigih yang menargetkan target terkait lima racun. Mereka mampu mengembangkan atau membeli eksploitasi zero-day untuk mencapai tujuan mereka, memberikan skala yang menguntungkan mereka dalam hal mendapatkan akses ke jaringan sasaran.”