Cyberthreat.id - Peretas China diyakini terus menyebarkan jenis malware baru di jaringan puluhan organisasi Amerika Serikat dan Uni Eropa yang disusupi setelah mengeksploitasi kerentanan pada peralatan Pulse Secure VPN.

Seperti yang diungkapkan analis ancaman FireEye bulan lalu, pelaku yang disponsori negara mengeksploitasi zero-day yang baru-baru ini ditambal di gateway Pulse Connect Secure.

Setelah menyusupi perangkat yang ditargetkan, mereka menyebarkan malware untuk mempertahankan akses jangka panjang ke jaringan, mengumpulkan kredensial, dan mencuri datanya.

"Kami sekarang menilai bahwa kegiatan spionase oleh UNC2630 dan UNC2717 mendukung prioritas utama pemerintah China," kata FireEye dalam laporan tindak lanjut yang diterbitkan pada hari Kamis, 27 Mei 2021.

"Banyak organisasi yang disusupi beroperasi di vertikal dan industri yang selaras dengan tujuan strategis Beijing yang diuraikan dalam Rencana Lima Tahun ke-14 China baru-baru ini," kata analisis FireEye seperti dikutip Hacker News, Jumat (28 Mei 2021).

Dalam laporan sebelumnya pada 20 April, FireEye mengungkapkan 12 keluarga malware yang berbeda, termasuk STEADYPULSE dan LOCKPICK, yang  dirancang untuk menginfeksi peralatan Pulse Secure VPN dan digunakan oleh beberapa kelompok spionase dunia maya yang diyakini berafiliasi dengan pemerintah China.

Produk yang ditawarkan oleh Pulse Secure VPN | Sumber: .pulsesecure.net

Selain STEADYPULSE dan LOCKPICK, malware lain yang deteksi adalah UNC2630 - SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, PULSECHECK, UNC2717, HARDPULSE, QUIETPULSE, DAN PULSEJUMP.

Investigasi lanjutan oleh FireEye mengungkap empat keluarga malware lagi yang disebarkan oleh UNC2630 yaitu BLOODMINE, BLOODBANK, CLEANPULSE, dan RAPIDPULSE, dengan tujuan untuk mengumpulkan kredensial dan data sistem sensitif, memungkinkan eksekusi file sewenang-wenang, dan menghapus bukti forensik.

Selain itu, pelaku juga diamati menghapus web shell, ATRIUM, dan SLIGHTPULSE, dari lusinan perangkat VPN yang disusupi antara 17 April dan 20 April dalam apa yang digambarkan oleh para peneliti sebagai prilaku "tidak biasa."

Inti dari kerentanan ini terletak pada CVE-2021-22893, kerentanan yang baru-baru ini ditambal di perangkat VPN Pulse Secure. Pelaku menggunakannya untuk mendapatkan pijakan awal di jaringan target, menggunakannya untuk mencuri kredensial, meningkatkan hak istimewa, melakukan pengintaian internal dengan bergerak secara lateral di seluruh jaringan, sebelum mempertahankan akses jangka panjang, dan mengakses data sensitif.

“UNC2630 dan UNC2717 menampilkan keahlian yang canggih dan bekerja keras untuk menghindari deteksi. Para pelaku memodifikasi stempel waktu file dan secara teratur mengedit atau menghapus bukti forensik seperti log, file inti server web, dan file yang dibuat untuk eksfiltrasi.”

Peneliti juga mengatakan, para penjahat siber juga mendemonstrasikan pemahaman yang mendalam tentang peralatan jaringan dan jaringan yang ditargetkan.[]

Editor: Yuswardi A. Suud