Cyberthreat.id – Peneliti keamanan dari Cisco Talos mengungkapkan bahwa peretas menargetkan perusahaan pengembang perangkat lunak asal Ukraina dengan menggunakan malware Gomet.

Dikutip dari The Hacker News, malware ini pertama kali diamati pada 19 Mei 2022. Malware ini adalah varian khusus dari pintu belakang sumber terbuka yang dirancang untuk mempertahankan akses terus-menerus ke jaringan.

“Akses ini dapat dimanfaatkan dalam berbagai cara termasuk akses yang lebih dalam atau untuk meluncurkan serangan tambahan, termasuk potensi kompromi rantai pasokan perangkat lunak,” kata peneliti Cisco Tales dalam laporannya.

Meskipun tidak ada indikator konkret yang menghubungkan serangan itu dengan satu aktor atau kelompok, penilaian perusahaan keamanan siber itu menunjuk pada aktivitas yang disponsori Rusia.

Pelaporan publik tentang penggunaan GoMet dalam serangan dunia nyata sejauh ini hanya menemukan dua kasus yang terdokumentasi hingga saat ini: satu pada tahun 2020, bertepatan dengan pengungkapan CVE-2020-5902, kelemahan eksekusi kode jarak jauh yang kritis dalam jaringan BIG-IP F5. perangkat.

Contoh kedua mensyaratkan keberhasilan eksploitasi CVE-2022-1040, kerentanan eksekusi kode jarak jauh di Sophos Firewall, oleh kelompok ancaman persisten lanjutan (APT) yang tidak disebutkan namanya awal tahun ini.

"Kami belum pernah melihat GoMet dikerahkan di organisasi lain yang telah bekerja sama dengan kami dan memantau sehingga menyiratkan bahwa itu ditargetkan dalam beberapa cara tetapi dapat digunakan untuk melawan target tambahan yang tidak kami lihat," kata Nick Biasini, head of Outreach untuk Cisco Talos.

Tidak hanya itu saja, Biasini mengatakan pihaknya juga telah melakukan analisis historis yang relatif ketat. Timnya melihat sangat sedikit penggunaan GoMet secara historis yang selanjutnya menunjukkan bahwa itu digunakan dengan cara yang sangat ditargetkan.

GoMet, seperti namanya, ditulis dalam Go dan dilengkapi dengan fitur yang memungkinkan penyerang untuk mengambil alih sistem yang disusupi dari jarak jauh, termasuk mengunggah dan mengunduh file, menjalankan perintah arbitrer, dan menggunakan pijakan awal untuk menyebar ke jaringan dan sistem lain.

Fitur penting lainnya dari implan adalah kemampuannya untuk menjalankan pekerjaan terjadwal menggunakan cron. Sementara kode asli dikonfigurasi untuk menjalankan tugas cron sekali setiap jam, versi modifikasi dari pintu belakang yang digunakan dalam serangan dibangun untuk berjalan setiap dua detik dan memastikan apakah malware terhubung ke server perintah-dan-kontrol.

“Sebagian besar serangan yang kita lihat akhir-akhir ini terkait dengan akses, baik secara langsung maupun melalui akuisisi kredensial,” kata Biasini. "Ini adalah contoh lain dengan GoMet yang digunakan sebagai pintu belakang,” kata Biasini.

Temuan ini muncul saat Komando Siber A.S. pada hari Rabu membagikan indikator kompromi (IoC) yang berkaitan dengan berbagai jenis malware seperti GrimPlant, GraphSteel, Cobalt Strike Beacon, dan MicroBackdoor yang menargetkan jaringan Ukraina dalam beberapa bulan terakhir.

Perusahaan keamanan siber Mandiant sejak itu mengaitkan serangan phishing dengan dua aktor spionase yang dilacak sebagai UNC1151 (alias Ghostwriter) dan UNC2589, yang terakhir diduga bertindak mendukung kepentingan pemerintah Rusia dan telah melakukan pengumpulan spionase ekstensif di Ukraina.

Cluster ancaman yang tidak dikategorikan UNC2589 juga diyakini berada di balik serangan wiper data WhisperGate (alias PAYWIPE) pada pertengahan Januari 2022. Microsoft, yang melacak grup yang sama dengan nama DEV-0586, telah menilainya berafiliasi dengan GRU Rusia. intelijen militer.