Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.
Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.
Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.
Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.
Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.
Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).
Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.
Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye
