Apa yang terjadi di dunia maya selalu menjadi perhatian ESET, sebagai firma keamanan yang banyak berpengalaman menghadapi teroris-teroris internet yang rajin melakukan serangan-serangan berbahaya, ESET dalam penelitian terbarunya menemukan sesuatu yang baru dari Winnti Grup.
Pada bulan Maret, ESET teleh memberi peringatan tentang serangan supply chain baru yang menargetkan pengembang video games di Asia. Seiring hal tersebut, investigasi terhadap serangan terus dilanjutkan pada dua hal.
-
Menemukan tahap malware berikutnya yang dihasilkan oleh serangan.
-
Menemukan bagaimana pengembang dan penerbit yang jadi target dikompromikan untuk mengirimkan malware Winnti Group dalam aplikasi mereka.
Banyak laporan tentang kelompok penjahat siber ini terkait aktivitas ilegal mereka di dunia maya. Dan setiap laporan seringkali memberi nama baru pada grup tersebut juga pada malwarenya.
Terkadang ini terjadi karena hubungan dengan penelitian yang ada tidak cukup kuat untuk mengklasifikasikan malware dan aktivitasnya dengan nama sebelumnya, atau karena vendor atau kelompok peneliti memiliki klasifikasi dan penamaan sendiri dan menggunakannya dalam pelaporan publik mereka. Untuk orang awam penamaan kelompok penjahat siber dan malware yang berlainan tersebut hanya menimbulkan kebingungan.
Tapi ESET mempertahankan untuk menggunakan nama kelompok penjahat siber ini sebagai Winnti.
Ada hal menarik dalam serangan rantai pasokan terhadap industri game di Asia oleh grup Winnti, yaitu metode pengemasan unik yang mereka gunakan. Dari investigasi lebih lanjut, ESET menemukan bahwa packer ini digunakan pada backdoor yang disebut PortReuse oleh Malefactors. Selain itu, ditemukan sampel tambahan dari backdoor ini yang mengkonfirmasi bahwa backdoor digunakan dalam organisasi yang ditargetkan.
Mereka juga menggunakan Algoritma yang persis sama dengan yang digunakan oleh malware tahap kedua pada games yang diretas oleh Winnti Group pada tahun 2018. Sementara muatan VMP yang sama juga pernah digunakan malware ShadowPad saat terjadi serangan rantai pasokan NetSarang, dimana perangkat lunak mereka dibundel dengan malware ini. Dan saat ini ESET melihat varian ShadowPad di organisasi yang menjadi target.
Tahap terakhir dari serangan rantai pasokan terhadap gamer adalah XMRig, sebuah penambang cryptocurrency open source yang populer. Ini sesuatu yang di luar dugaan dari Grup Winnti yang selama ini dikenal dengan operasi spionasenya, bukan untuk menjalankan operasi yang menghasilkan keuntungan finansial. Mungkin uang virtual ini adalah bagaimana mereka membiayai infrastruktur mereka (server C&C, nama domain, dll.), Tetapi ini hanya dugaan saja.
Backdoor Winnti
Winnti grup menggunakan backdoor PortReuse yang tidak membutuhkan server C&C, ia menunggu koneksi masuk yang mengirimkan paket ‘ajaib’. Untuk melakukannya, ia menyusup masuk ke dalam proses yang ada untuk “reuse” port yang sudah terbuka. Untuk dapat mem-parsing data yang masuk untuk mencari paket ajaib.
Mengetahui hal tersebut, para peneliti ESET memperingatkan produsen perangkat lunak dan perangkat keras ponsel Asia bahwa mereka diretas dengan backdoor PortReuse. Upaya ini merupakan hasil kerjasama ESET dengan Censys untuk melakukan pemindaian Internet untuk varian PortReuse yang menyuntikkan ke IIS.
Selain backdoor PortReuse baru, Grup Winnti secara aktif memperbarui dan menggunakan backdoor andalannya, ShadowPad. Salah satu perubahan adalah pengacakan modul pengidentifikasi. Stempel waktu yang ditemukan di setiap modul sampel menunjukkan mereka dikompilasi pada 2019.
Konklusi
Peneliti ESET selalu mencari serangan rantai pasokan baru. Ini bukan tugas yang mudah, mengidentifikasi kode kecil yang tersembunyi dengan baik, ditambahkan ke basis kode yang terkadang sangat besar, seperti mencari jarum di tumpukan jerami. Namun, ESET dapat mengandalkan perilaku dan kesamaan kode untuk membantu menemukan jarum tersebut.
Yang mengejutkan, sebelumnya grup ini dikenal dengan kemampuan spionasenya, bukan untuk menambang cryptocurrency menggunakan botnet mereka. Di sini ESET menduga bahwa mungkin mereka menggunakan uang virtual yang mereka tambang untuk membiayai operasi yang lain. Mungkin mereka menggunakannya untuk menyewa server dan mendaftarkan nama domain. Tetapi pada titik ini, kita tidak dapat mengecualikan bahwa mereka, atau salah satu subkelompok mereka dimotivasi untuk memperoleh keuntungan finansial.
Peneliti ESET akan terus melacak grup ini dan memberikan detail tambahan saat tim menemukannya.