Peretas China menggunakan eksploitasi zero-day untuk kerentanan tingkat kritis di Sophos Firewall untuk menyusup ke perusahaan dan menembus server web yang dihosting cloud yang dioperasikan oleh korban.
Masalah keamanan telah diperbaiki sementara itu tetapi berbagai pelaku ancaman terus mengeksploitasinya untuk melewati otentikasi dan menjalankan kode arbitrer dari jarak jauh di beberapa organisasi.
Pada tanggal 25 Maret, Sophos menerbitkan nasihat keamanan tentang CVE-2022-1040, kerentanan bypass otentikasi yang memengaruhi Portal Pengguna dan Webadmin dari Sophos Firewall dan dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak jauh.
Tiga hari kemudian, perusahaan memperingatkan bahwa pelaku ancaman memanfaatkan masalah keamanan untuk menargetkan beberapa organisasi di kawasan Asia Selatan.
Minggu ini, perusahaan keamanan siber Volexity merinci serangan dari kelompok ancaman persisten canggih China yang mereka lacak sebagai DriftingCloud, yang mengeksploitasi CVE-2022-1040 sejak awal Maret, sedikit lebih dari tiga minggu sebelum Sophos merilis patch.
Musuh menggunakan eksploitasi zero-day untuk mengkompromikan firewall untuk menginstal backdoor webshell dan malware yang akan memungkinkan kompromi sistem eksternal di luar jaringan yang dilindungi oleh Sophos Firewall.
Ketika Volexity memulai penyelidikan, pelaku ancaman masih aktif dan para peneliti dapat memantau langkah-langkah serangan, mengungkapkan musuh canggih yang berusaha untuk tetap tidak terdeteksi.
Para peneliti mencatat bahwa penyerang mencoba memadukan lalu lintasnya dengan mengakses webshell yang diinstal melalui permintaan ke file “login.jsp” yang sah.
Menggali lebih dalam, para peneliti menemukan bahwa penyerang menggunakan kerangka Behinder, yang mereka yakini juga digunakan oleh grup APT China lainnya yang mengeksploitasi CVE-2022-26134 di server Confluence.
Terlepas dari webshell, Volexity menemukan lebih banyak aktivitas jahat yang memastikan kegigihan dan memungkinkan aktor ancaman untuk melakukan serangan lebih jauh:
- Membuat akun pengguna VPN dan mengaitkan pasangan sertifikat di firewall untuk akses jaringan jarak jauh yang sah
- Menulis “pre_install.sh” ke ‘/conf/certificate/’
- “pre_install.sh” menjalankan perintah jahat untuk mengunduh biner, menjalankannya, lalu menghapusnya dari disk
Para peneliti mengatakan bahwa mendapatkan akses ke Sophos Firewall adalah langkah pertama serangan, memungkinkan musuh untuk melakukan aktivitas man-in-the-middle (MitM) dengan cara memodifikasi respons DNS untuk situs web tertentu yang dikelola oleh perusahaan korban.
Tampaknya penyerang berhasil dalam upaya ini karena mereka mengakses halaman admin CMS menggunakan cookie sesi yang dicuri dan menginstal plugin File Manager untuk menangani file di situs web (mengunggah, mengunduh, menghapus, mengedit).
Begitu mereka mendapatkan akses ke server web, peretas DriftingCloud memasang PupyRAT, Pantegana, dan Sliver – tiga keluarga malware untuk akses jarak jauh yang tersedia untuk umum.
Volexity menilai bahwa grup peretasan DriftingCloud cukup canggih untuk mengembangkan kerentanan zero-day, atau cukup dana untuk membelinya.
Sophos menyediakan hotfix yang menangani CVE-2022-1040 secara otomatis serta mitigasi yang membantu organisasi yang menggunakan firewallnya melindungi dari eksploitasi kerentanan.
Untuk mengidentifikasi serangan serupa, Volexity merekomendasikan penggunaan mekanisme pemantauan keamanan jaringan yang mendeteksi dan mencatat lalu lintas dari perangkat gateway.
Perusahaan juga merekomendasikan penggunaan alat auditd pada server berbasis Unix untuk menyelidiki kompromi dengan lebih mudah. Vendor atau perangkat perimeter juga harus menyediakan metode untuk memeriksa potensi kompromi.
Volexity juga menyediakan seperangkat aturan YARA yang dapat menandai aktivitas mencurigakan dari jenis serangan ini.
Sumber: Bleeping Computer
