Cyberthreat.id – Kelompok APT yang disponsori China, menargetkan Taiwan dan Indonesia melalui sistem linux dengan malware baru.

Dikutip dari Bleeping Computer, peneliti keamanan dari InterZer menemukan sebuah malware baru yang diberi nama RedXOR. Malware ini dikaitkan dengan APT China Winnti, dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

“Berdasarkan viktimologi, serta komponen dan Taktik, Teknik, dan Prosedur (TTP) serupa, kami yakin RedXOR dikembangkan oleh aktor-aktor ancaman China yang terkenal," ungkap Intezer.

Sampel dari malware ini telah diunggah ke VirusTotal dari Taiwan dan Indonesia yang merupakan target peretas China.

Malware ini diketahui memiliki tingkat deteksi yang rendah. Bahkan, berdasarkan server command-and-control yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

Menurut peneliti InterZer, RedXor memiliki sejumlah kemampuan canggih seperti menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan masih banyak lagi kemampuan lainnya.

Selama penelitian dilakukan, peneliti InterZer menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Kesamaan yang ditemukan oleh peneliti keamanan saat membandingkan jenis malware ini termasuk penggunaan rootkit kernel open-source lama, fungsi yang identik, Lalu lintas berbahaya berkode XOR, skema penamaan yang sebanding untuk layanan persistensi, kompilasi menggunakan kompiler Red Hat lama, aliran kode dan fungsionalitas yang sangat mirip, dan banyak lagi.

Siapa Wintti?

Winnti adalah istilah umum yang digunakan untuk melacak kumpulan grup peretasan yang didukung negara (BARIUM oleh Microsoft, APT41 oleh FireEye, Blackfly dan Suckfly oleh Symantec, Wicked Panda oleh CrowdStrike) terkait dengan kepentingan pemerintah China.

Grup APT ini berbagi alat berbahaya yang digunakan dalam serangan spionase dunia maya dan bermotif finansial setidaknya sejak 2011. Sejak saat itulah peneliti Kaspersky menemukan malware Trojan Winnti pada sejumlah besar sistem permainan yang disusupi menyusul serangan rantai pasokan yang membahayakan server pembaruan resmi permainan.

Kaspersky juga mengungkapkan bukti yang menghubungkan taktik dan metode serangan Winnti yang digunakan dalam kompromi LiveUpdate ASUS selama Operasi ShadowHammer dengan yang digunakan dalam serangan rantai pasokan lainnya, termasuk NetSarang dan CCleaner dari tahun 2017.

Grup APT semakin menargetkan pengguna Linux

Penemuan baru sama sekali tidak mengejutkan, dengan mempertimbangkan lebih dari 40% peningkatan malware Linux baru yang ditemukan selama tahun 2020. Kelompok APT ini juga semakin fokus pada penargetan sistem Linux, seperti yang disorot oleh laporan Intezer tahun 2020 yang merangkum sepuluh tahun terakhir serangan Linux APT.

"Dalam dekade sebelumnya para peneliti menemukan beberapa kampanye APT besar yang menargetkan sistem Linux, serta alat malware Linux unik yang disesuaikan untuk operasi spionase. Bahkan beberapa APT yang paling menonjol memasukkan kemampuan Linux ofensif ke dalam gudang senjata mereka dan diharapkan jumlah dan kecanggihan serangan semacam itu akan meningkat seiring waktu."[]

Editor: Yuswardi A. Suud