Cyberthreat.id - Microsoft menemukan tiga muatan sekunder tambahan yang digunakan oleh peretas SolarWinds.

Dalam laporan yang diterbitkan pada 4 Maret lalu, Microsoft mengatakan tiga malware itu antara lain GoldMax, Sibot dan GoldFinder. Malware GoldMax ini juga ditemukan oleh firma keamanan siber FireEye, tetapi tidak disebut sebagai GoldMax melainkan SunShuttle.

Ketiga malware ini, kata Microsoft, digunakan dalam aktivitas tahap akhir oleh peretas Nobelium — sebutan Microsoft untuk peretas SolarWinds.

Microsoft mengamati bahwa alat tersebut digunakan dari Agustus - September 2020.  Kemampuannya berbeda dari alat-alat Nobelium yang dikenal sebelumnya.

Nobelium menggunakan tiga malware ini untuk mempertahankan dan melakukan tindakan pada jaringan yang spesifik dan tertarget pasca-peretasan. Malware inipun juga digunakan peretas untuk menghindari deteksi awal selama masa menanggapi insiden.

Berikut tiga komponen malware baru itu.

1. GoldMax
Malware GoldMax disebutkan oleh Microsoft ditulis dengan bahasa pemrograman populer Go dan bertindak sebagai pintu belakang (backdoor) perintah dan kontrol (C2) bagi peretas. Malware ditemukan bertahan di jaringan sebagai “tugas terjadwal” yang meniru perangkat lunak manajemen sistem.  

Microsoft mengatakan perintah C2 memungkinkan operator untuk mengunduh dan mengeksekusi file pada sistem yang disusupi, mengunggah file dari sistem yang disusupi ke server C2, menjalankan perintah OS pada sistem yang disusupi, menelurkan shell perintah, dan memperbarui data konfigurasi GoldMax secara dinamis.

Dikutip dari BankInfoSecurity, GoldMax membuat kunci sesi aman dengan server C2, dan menggunakan itu untuk berkomunikasi secara aman dengan penyerang, mencegah koneksi yang tidak dimulai GoldMax dari menerima dan mengidentifikasi lalu lintas berbahaya. Tak hanya itu, malware ini juga dapat menyebarkan lalu lintas jaringan umpan yang membuat komunikasinya berbaur dengan lalu lintas jaringan normal.

Malware ini dikatakan memiliki teknik untuk mengaburkan tindakannya dan menghindari deteksi. Pasalnya, peretas memakai domain reputasi tinggi dan prevalensi tinggi, yang didapatkan dari pengecer domain membuat domainnya cenderung diabaikan oleh produk keamanan perusahaan atau korban.

FireEye yang juga menemukan malware serupa dan dinamakannya sebagai Sunshuttle tidak mengetahui vektor awal infeksi tetapi ini sebagai backdoor tahap kedua yang dijatuhkan setelah penyusupan awal. Dengan kata lain, tampaknya malware sebelumnya yang membawa Sunshuttle atau GoldMax ini.

2. Sibot
Malware ini dibangun dengan Microsoft Visual Basic Scripting (VBScript) dan merupakan malware tujuan ganda.

"File VBScript diberi nama yang meniru tugas Windows yang sah dan disimpan dalam registri sistem yang disusupi atau dalam format yang dikaburkan pada disk. VBScript kemudian dijalankan melalui tugas terjadwal," tulis Microsoft.

 

Malware Sibot dirancang untuk membuat persistensi pada perangkat yang terinfeksi dan kemudian menggunakannya juga mengunduh dan mengeksekusi muatan tambahan yang diterima dari C2. Microsoft menemukan tiga varian Sibot yang semuanya mengunduh muatan berbahaya.

3. GoldFinder
Malware GoldFinder ini juga ditulis dalam bahasa pemrograman Go, seperti halnya GoldMax. Malware ini sebagai alat pelacakan HTTP khusus yang membantu menemukan alat keamanan seperti server proxy dan pengalih lainnya dalam jaringan yag ditargetkan yang kemungkinan telah menemukan pesan yang dikirim ke server C2.

Saat digunakan pada perangkat yang disusupi, Microsoft mengatakan malware ini dapat digunakan untuk memberitahu aktor poin potensial penemuan atau pencatatan tindakan lain mereka, seperti komunikasi C2 dengan GoldMax.

GoldMax (Sunshuttle), Sibot, dan GoldFinder  ini menambah sederet daftar malware yang telah diidentifikasi para peneliti lainnya terkait peretasan SolarWinds. Malware lain yang dideteksi oleh perusahaan keamanan siber lainnya antara lain malware Sunburst (ditemukan FireEye) dan Solorigate (Microsoft), Teardrop (FireEye), Raindrop (Syamntec), SuperNova (Palo Alto Networks dan Microsoft). []

Editor: Yuswardi A. Suud