Kelompok hacker yang tidak diketahui yang membajak server download CCleaner untuk mendistribusikan versi berbahaya dari perangkat lunak pengoptimalan sistem populer menargetkan setidaknya 20 perusahaan teknologi besar internasional dengan malware tahap kedua.
Awal pekan ini, saat peretasan CCleaner dilaporkan, para periset meyakinkan pengguna bahwa tidak ada malware tahap kedua yang digunakan dalam serangan besar-besaran dan pengguna yang terkena dampak hanya dapat memperbarui versi mereka untuk menyingkirkan malware tersebut.
Namun, selama analisis server command-and-control (C2) yang terhubung dengan versi berbahaya CCleaner, periset keamanan dari Grup Talos Cisco menemukan bukti malware tahap kedua (GeeSetup_x86.dll, modul backdoor ringan) yang dikirim ke daftar komputer tertentu berdasarkan nama domain lokal.
Perusahaan Teknologi Yang Terkena Dampak
Menurut daftar yang telah ditentukan yang disebutkan dalam konfigurasi server C2, serangan tersebut dirancang untuk menemukan komputer di dalam jaringan perusahaan teknologi besar dan mengirimkan muatan sekunder. Perusahaan sasaran meliputi:
- Microsoft
- Cisco
- Intel
- Samsung
- Sony
- HTC
- Linksys
- D-Link
- Akamai
- VMware
Dalam database, para periset menemukan daftar hampir 700.000 mesin yang terinfeksi dengan versi berbahaya CCleaner, yaitu malware tahap pertama, dan daftar setidaknya 20 mesin yang terinfeksi oleh malware tahap kedua untuk mendapatkan pijakan yang lebih dalam pada sistem mereka.
Peretas CCleaner secara khusus memilih 20 mesin ini berdasarkan nama Domain, alamat IP, dan Hostname mereka. Para periset percaya malware tahap kedua ini kemungkinan ditujukan untuk spionase industri.
Malware CCleaner Terhubung Ke Grup Hacking Cina
Menurut para periset dari Kaspersky, malware CCleaner mengandung beberapa kode dari alat hacking yang digunakan oleh kelompok hacking Cina yang disebut Axiom, yang juga dikenal sebagai APT17, Group 72, DeputyDog, Tim Tailgater, Hidden Lynx atau AuroraPanda.
The malware injected into #CCleaner has shared code with several tools used by one of the APT groups from the #Axiom APT 'umbrella'.
— Costin Raiu (@craiu) September 19, 2017
Peneliti Cisco juga mencatat bahwa satu file konfigurasi pada server penyerang ditetapkan untuk zona waktu Cina, yang mengindikasikan bahwa Cina bisa menjadi sumber serangan CCleaner. Namun, bukti ini saja tidak cukup untuk atribusi.
Peneliti Cisco Talos juga mengatakan bahwa mereka telah memberi tahu perusahaan teknologi yang terkena dampak tentang kemungkinan pelanggaran.
Menghapus Versi CCleaner Berbahaya Tidak Membantu
Hanya dengan menghapus aplikasi perangkat lunak Avast dari mesin yang terinfeksi tidak akan cukup untuk menyingkirkan muatan malware tahap kedua CCleaner dari jaringan mereka dengan server C2 yang masih aktif.
“Temuan ini juga mendukung dan memperkuat rekomendasi kami sebelumnya bahwa mereka yang terkena dampak dari serangan supply chain ini seharusnya tidak menghapus versi CCleaner yang terpengaruh atau memperbarui ke versi terbaru, namun harus memulihkan dari sistem backup atau reimage untuk memastikan bahwa mereka benar-benar menghapus versi CCleaner yang disusupi backdoor tapi juga malware lainnya yang mungkin tinggal di sistem,” kata periset.
