Cyberthreat.id – Microsoft menerbitkan tulisan yang merinci tentang malware yang digunakan oleh peretas yang menyerang perusahaan perangkat lunak SolarWinds untuk mengekstrak data dari server yang disusupi.

Peretas yang diduga berasal dari Rusia itu disebut oleh Microsoft dengan nama Nobelium. Sebelumnya, mereka telah menyebutkan nama malware yang dipakai untuk menyerang SolarWinds.

Namun, pada ulasan yang diterbitkan Senin lalu, peneliti Microsoft membagikan analisis mendalam tentang “pintu belakang” (backdoor) yang dinamai “FoggyWeb”, demikian dikutip dari Security Week, diakses Rabu (29 September 2021).

Microsoft mengatakan FoggyWeb telah digunakan dalam serangan setidaknya sejak April 2021. Perusahaan telah memberi tahu pelanggan yang sistemnya telah ditargetkan atau disusupi dalam serangan yang menggunakan malware tersebut.

FoggyWeb ialah “pintu belakang” pasif pasca-serangan. Malware ini digunakan peretas untuk mengekstrak informasi sensitif dari jarak jauh dari server ctive Directory Federation Services (AD FS) yang disusupi. “Pintu belakang”, kata perusahaan, memiliki kegigihan tinggi untuk bertahan di sistem yang terinfeksi dan sangat ditargetkan ke korban tertentu.

“Begitu Nobelium mendapatkan kredensial dan berhasil mengkompromikan server, aktor bergantung pada akses itu untuk mempertahankan kegigihan dan memperdalam infiltrasinya menggunakan malware dan alat canggih,” Microsoft menjelaskan.

“Nobelium menggunakan FoggyWeb untuk mengekstrak database konfigurasi server AD FS dari jarak jauh, sertifikat penandatanganan token yang didekripsi, dan sertifikat token-dekripsi, serta untuk mengunduh dan menjalankan komponen tambahan.”

Selain detail teknis tentang malware dan cara penyebarannya, Microsoft telah membagikan indikator kompromi (IOC) untuk FoggyWeb, serta rekomendasi untuk mendeteksi dan mengurangi ancaman.

Pada Juni lalu, Microsoft memperingatkan bahwa para peretas terus melakukan operasi yang ditujukan untuk perusahaan IT dengan target yang diidentifikasi di 36 negara.

Dalam serangan SolarWinds, para peretas mengirimkan malware tahap pertama ke ribuan organisasi, tetapi mereka sebenarnya meretas ke dalam sistem hanya sekitar 100 pelanggan SolarWinds.

Pada 13 Desember, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya. Peretas canggih itu menaruh backdoor pada pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware ini kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion itu. Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion untuk dipakai di jaringan internalnya.

SolarWinds kemudian mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan trojan itu sekitar 18.000 pelanggan.

Badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.[]