Peretas Menargetkan Perusahaan Perangkat Lunak Ukraina Menggunakan GoMet Backdoor

Ukrainian Software Company

Sebuah perusahaan pengembangan perangkat lunak besar yang perangkat lunaknya digunakan oleh entitas negara yang berbeda di Ukraina berada di ujung penerima malware “tidak biasa”, menurut penelitian baru.

Malware, pertama kali diamati pada pagi hari 19 Mei 2022, adalah varian khusus dari pintu belakang sumber terbuka yang dikenal sebagai GoMet dan dirancang untuk mempertahankan akses terus-menerus ke jaringan.

“Akses ini dapat dimanfaatkan dalam berbagai cara termasuk akses yang lebih dalam atau untuk meluncurkan serangan tambahan, termasuk potensi kompromi rantai pasokan perangkat lunak,” kata Cisco Talos dalam sebuah laporan yang dibagikan kepada The Hacker News.

Keamanan cyber

Meskipun tidak ada indikator konkret yang menghubungkan serangan itu dengan satu aktor atau kelompok, penilaian perusahaan keamanan siber itu menunjuk pada aktivitas negara-bangsa Rusia.

Pelaporan publik tentang penggunaan GoMet dalam serangan dunia nyata sejauh ini hanya menemukan dua kasus yang terdokumentasi hingga saat ini: satu pada tahun 2020, bertepatan dengan pengungkapan CVE-2020-5902, kelemahan eksekusi kode jarak jauh yang kritis dalam jaringan BIG-IP F5. perangkat.

Contoh kedua memerlukan keberhasilan eksploitasi CVE-2022-1040, kerentanan eksekusi kode jarak jauh di Sophos Firewall, oleh kelompok ancaman persisten lanjutan (APT) yang tidak disebutkan namanya awal tahun ini.

“Kami belum pernah melihat GoMet dikerahkan di organisasi lain yang telah bekerja sama dengan kami dan memantau sehingga menyiratkan bahwa itu ditargetkan dalam beberapa cara tetapi dapat digunakan untuk melawan target tambahan yang tidak kami lihat,” Nick Biasini, kepala penjangkauan untuk Cisco Talos, mengatakan kepada The Hacker News.

Related Post :   Microsoft Memperingatkan Skimmer Web yang Meniru Google Analytics dan Kode Meta Pixel

“Kami juga telah melakukan analisis historis yang relatif ketat dan melihat sangat sedikit penggunaan GoMet secara historis yang selanjutnya menunjukkan bahwa itu digunakan dengan cara yang sangat ditargetkan.”

GoMet, seperti namanya, ditulis dalam Go dan dilengkapi dengan fitur yang memungkinkan penyerang untuk mengambil alih sistem yang disusupi dari jarak jauh, termasuk mengunggah dan mengunduh file, menjalankan perintah arbitrer, dan menggunakan pijakan awal untuk menyebar ke jaringan dan sistem lain melalui apa yang disebut rantai daisy.

Keamanan cyber

Fitur penting lainnya dari implan adalah kemampuannya untuk menjalankan pekerjaan terjadwal menggunakan cron. Sementara kode asli dikonfigurasi untuk menjalankan tugas cron sekali setiap jam, versi modifikasi dari pintu belakang yang digunakan dalam serangan dibangun untuk berjalan setiap dua detik dan memastikan apakah malware terhubung ke server perintah-dan-kontrol.

“Sebagian besar serangan yang kita lihat akhir-akhir ini terkait dengan akses, baik secara langsung maupun melalui akuisisi kredensial,” kata Biasini. “Ini adalah contoh lain dengan GoMet yang digunakan sebagai pintu belakang.”

“Setelah akses dibuat, pengintaian tambahan dan operasi yang lebih menyeluruh dapat mengikuti. Kami sedang bekerja untuk membunuh serangan sebelum mereka mencapai tahap ini sehingga sulit untuk memprediksi jenis serangan lanjutan.”

Temuan datang sebagai Komando Cyber ​​AS pada hari Rabu bersama indikator kompromi (IoC) yang berkaitan dengan berbagai jenis malware seperti GrimPlant, GraphSteel, Cobalt Strike Beacon, dan MicroBackdoor yang menargetkan jaringan Ukraina dalam beberapa bulan terakhir.

Related Post :   Bug Webmail Horde Baru yang Belum Ditambal Memungkinkan Peretas Mengambil Alih Server dengan Mengirim Email

Perusahaan keamanan siber Mandiant sejak itu mengaitkan serangan phishing dengan dua aktor spionase yang dilacak sebagai UNC1151 (alias Ghostwriter) dan UNC2589, yang terakhir diduga “bertindak mendukung kepentingan pemerintah Rusia dan telah melakukan pengumpulan spionase ekstensif di Ukraina.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.