Peretas Menargetkan Perusahaan Perangkat Lunak Ukraina Menggunakan GoMet Backdoor

  • Bagikan
Ukrainian Software Company

Beritaini.top Peretas Menargetkan Perusahaan Perangkat Lunak Ukraina Menggunakan GoMet Backdoor

Perusahaan Perangkat Lunak Ukraina

Sebuah perusahaan pengembangan perangkat lunak besar yang perangkat lunaknya digunakan oleh entitas negara yang berbeda di Ukraina berada di ujung penerima malware “tidak biasa”, menurut penelitian baru.

Malware, pertama kali diamati pada pagi hari tanggal 19 Mei 2022, adalah varian khusus dari pintu belakang sumber terbuka yang dikenal sebagai GoMet dan dirancang untuk mempertahankan akses persisten ke jaringan.

“Akses ini dapat dimanfaatkan dalam berbagai cara termasuk akses yang lebih dalam atau untuk meluncurkan serangan tambahan, termasuk potensi kompromi rantai pasokan perangkat lunak,” Cisco Talos dikatakan dalam laporan yang dibagikan kepada The Hacker News.

Keamanan cyber

Meskipun tidak ada indikator konkret yang menghubungkan serangan itu dengan satu aktor atau kelompok, penilaian perusahaan keamanan siber itu menunjuk pada aktivitas negara-bangsa Rusia.

Pelaporan publik tentang penggunaan GoMet dalam serangan dunia nyata sejauh ini hanya menemukan dua kasus yang terdokumentasi hingga saat ini: satu pada tahun 2020, bertepatan dengan pengungkapan CVE-2020-5902, kelemahan eksekusi kode jarak jauh yang kritis dalam jaringan BIG-IP F5. perangkat.

Contoh kedua memerlukan keberhasilan eksploitasi CVE-2022-1040, kerentanan eksekusi kode jarak jauh di Sophos Firewall, oleh kelompok ancaman persisten lanjutan (APT) yang tidak disebutkan namanya awal tahun ini.

“Kami belum pernah melihat GoMet dikerahkan di organisasi lain yang telah bekerja sama dengan kami dan memantau sehingga menyiratkan bahwa itu ditargetkan dalam beberapa cara tetapi dapat digunakan untuk melawan target tambahan yang tidak dapat kami lihat,” Nick Biasini, kepala penjangkauan untuk Cisco Talos, mengatakan kepada The Hacker News.

“Kami juga telah melakukan analisis historis yang relatif ketat dan melihat sangat sedikit penggunaan GoMet secara historis yang selanjutnya menunjukkan bahwa itu digunakan dengan cara yang sangat ditargetkan.”

GoMet, seperti namanya, ditulis dalam Go dan dilengkapi dengan fitur yang memungkinkan penyerang untuk mengambil alih sistem yang disusupi dari jarak jauh, termasuk mengunggah dan mengunduh file, menjalankan perintah arbitrer, dan menggunakan pijakan awal untuk menyebar ke jaringan dan sistem lain melalui apa yang disebut sebagai rantai daisy.

Keamanan cyber

Fitur penting lainnya dari implan adalah kemampuannya untuk menjalankan pekerjaan terjadwal menggunakan cron. Sementara kode asli dikonfigurasi untuk menjalankan tugas cron sekali setiap jam, versi modifikasi dari pintu belakang yang digunakan dalam serangan dibangun untuk berjalan setiap dua detik dan memastikan apakah malware terhubung ke server perintah-dan-kontrol.

“Sebagian besar serangan yang kita lihat akhir-akhir ini terkait dengan akses, baik secara langsung maupun melalui akuisisi kredensial,” kata Biasini. “Ini adalah contoh lain dengan GoMet yang digunakan sebagai pintu belakang.”

“Setelah akses dibuat, pengintaian tambahan dan operasi yang lebih menyeluruh dapat mengikuti. Kami sedang bekerja untuk membunuh serangan sebelum mereka mencapai tahap ini sehingga sulit untuk memprediksi jenis serangan lanjutan.”

Temuan datang sebagai Komando Cyber ​​AS pada hari Rabu bersama indikator kompromi (IoC) yang berkaitan dengan berbagai jenis malware seperti GrimPlant, GraphSteel, Cobalt Strike Beacon, dan MicroBackdoor yang menargetkan jaringan Ukraina dalam beberapa bulan terakhir.

Perusahaan keamanan siber Mandiant telah dikaitkan serangan phishing terhadap dua aktor spionase yang dilacak sebagai UNC1151 (alias Ghostwriter) dan UNC2589, yang terakhir diduga “bertindak mendukung kepentingan pemerintah Rusia dan telah melakukan pengumpulan spionase ekstensif di Ukraina.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.