Malware Zero Click Pencuri Data Clouds

Jenis malware yang belum pernah terlihat sebelumnya, ancaman baru ini dijuluki sebagai malware zero click pencuri data clouds yang sangat berbahaya.

Malware ini menargetkan router tingkat perusahaan dan SOHO untuk mencuri detail autentikasi dan data lainnya dari balik tepi jaringan. Ia juga melakukan serangan pembajakan DNS dan HTTP pada koneksi ke alamat IP pribadi.

Malware pengendus paket ini dijuluki Cuttlefish oleh para peneliti yang menemukannya, memiliki fitur pendekatan zero-click untuk menangkap data dari pengguna dan perangkat.

Setiap data yang dikirim melalui peralatan jaringan yang disusupi oleh malware ini berpotensi terekspos. Pelaku merancang malware modular untuk dipicu oleh seperangkat aturan tertentu, khususnya untuk memperoleh data otentikasi, dengan penekanan pada layanan publik berbasis cloud, kata para peneliti.

Untuk mengeksfiltrasi data, pelaku ancaman pertama-tama membuat proxy atau kanal VPN kembali melalui router yang disusupi, kemudian menggunakan kredensial yang dicuri untuk mengakses sumber daya yang ditargetkan.

Dengan mengirimkan permintaan melalui router, diduga pelaku tersebut dapat menghindari analisis berbasis masuk yang tidak wajar dengan menggunakan kredensial otentikasi yang dicuri.

Cuttlefish juga memiliki fungsi sekunder yang memberinya kemampuan untuk melakukan pembajakan DNS dan HTTP untuk koneksi ke ruang IP pribadi yang terkait dengan komunikasi di jaringan internal.

Itu juga dapat berinteraksi dengan perangkat lain di LAN dan memindahkan material atau memperkenalkan agen baru.

Perilaku Unik Malware

Malware zero click pencuri data clouds mampu menyadap jaringan edge dan melakukan pembajakan DNS dan HTTP yang jarang diamati.

Dan uniknya, cara kerja operasi semacam ini juga dilakukan beberapa malware lain sebagai berikut:

• ZuoRat.
• VPNFilter.
• Attor.
• Plead

Keempat malware di atas menunjukkan perilaku serupa seperti apa yang ditunjukkna oleh malware zero click pencuri data clouds Cuttlefish.

Namun yang unik dari Cuttlefish adalah kemampuannya untuk membidik koneksi alamat IP pribadi untuk potensi pembajakan.

Peneliti untuk pertama kalinya mengamati kemampuan ini yang kemungkinan untuk tujuan anti-deteksi dan persistensi yang merupakan kemampuan dasar malware tangguh.

Diduga bahwa menargetkan layanan cloud ini memungkinkan pelaku untuk mendapatkan akses ke banyak materi yang sama yang dihosting secara internal.

Sehingga tanpa harus menghadapi kontrol keamanan seperti EDR [deteksi dan respons yang diperluas] atau segmentasi jaringan.

Kombinasi malware yang menargetkan peralatan jaringan yang sering tidak terpantau, serta mendapatkan akses ke lingkungan cloud yang sering kali tidak memiliki logging, dimaksudkan untuk memberikan akses jangka panjang yang persisten ke ekosistem yang ditargetkan.

Perusahaan Telekomunikasi & Tautan ke HiatusRAT

Cuttlefish telah aktif setidaknya sejak bulan Juli lalu, dengan kampanye terbarunya berlangsung dari bulan Oktober hingga bulan lalu.

Para peneliti menemukan kaitan khususnya kesamaan kode dan jalur pembangunan yang tertanam dengan HiatusRat, sehingga mereka yakin Cuttlefish juga selaras dengan kepentingan pelaku ancaman yang berbasis di Tiongkok.

Namun, sejauh ini belum ditemukan viktimologi yang sama, dan menduga bahwa kedua cluster malware tersebut beroperasi secara bersamaan.

Proses dan Eksekusi Infeksi

Meskipun para peneliti belum menentukan vektor infeksi awal, mereka melacak jalur Cuttlefish setelah perangkat yang ditargetkan dieksploitasi, kata mereka.

Pelaku ancaman pertama-tama menyebarkan skrip bash yang mengumpulkan data berbasis host tertentu untuk dikirim ke server perintah dan kontrol (C2).

Ia juga mengunduh dan mengeksekusi Cuttlefish dalam bentuk biner berbahaya yang dikompilasi untuk arsitektur utama yang digunakan sistem operasi SOHO.

Agen ini menerapkan proses multi-langkah yang dimulai dengan memasang filter paket untuk pemeriksaan semua koneksi keluar dan penggunaan port, protokol, dan alamat IP tujuan tertentu.

Cuttlefish terus-menerus memonitor semua lalu lintas melalui perangkat dan hanya terlibat ketika melihat serangkaian aktivitas tertentu.

C2 mengirimkan aturan keterlibatan yang diperbarui dan ditentukan melalui file konfigurasi setelah menerima enumerasi berbasis host dari entri awal.

Aturan yang ditetapkan mengarahkan malware untuk membajak lalu lintas yang ditujukan ke alamat IP pribadi; jika menuju ke IP publik, itu akan memulai fungsi sniffer untuk mencuri kredensial jika parameter tertentu terpenuhi.

Bertahan Terhadap Serangan Router

Untuk menghadapi ancaman malware zero click pencuri data clouds, para peneliti memberikan tips bagi tim IT jaringan perusahaan.

Tips ini juga diperuntukkan dan mereka yang memiliki router SOHO untuk menghindari dan mendeteksi kompromi yang dilakukan oleh Cuttlefish.

• Organisasi perusahaan harus mencari serangan terhadap kredensial yang lemah dan upaya login yang mencurigakan.
• Mereka juga harus mengenkripsi lalu lintas jaringan dengan TLS/SSL untuk mencegah sniffing ketika mengambil atau mengirim data dari jarak jauh.
• Organisasi yang mengelola router jenis ini harus memastikan bahwa perangkat tidak bergantung pada kata sandi default yang umum, serta antarmuka manajemen diamankan dengan baik dan tidak dapat diakses melalui Internet.
• Pemeriksaan perangkat SOHO untuk mencari file abnormal seperti biner yang terletak di direktori /tmp atau entri iptables jahat, serta secara rutin melakukan perputaran daya pada perangkat ini untuk membantu menghapus sampel malware di dalam memori juga dapat membantu organisasi menghindari kompromi.
• Perusahaan juga harus menerapkan penyematan sertifikat saat melakukan koneksi jarak jauh ke aset bernilai tinggi, seperti aset cloud, untuk mencegah pelaku ancaman membajak koneksi.

Sumber berita:

WeLiveSecurity