PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Baru-baru ini, penjahat cyber berhasil menyusup ke mekanisme update untuk paket perangkat lunak manajemen server yang populer dan mengubahnya menjadi sebuah backdoor lanjutan, yang berlangsung setidaknya 17 hari sampai para periset menemukannya.

Dijuluki ShadowPad, backdoor rahasia memberi penyerang kontrol penuh atas jaringan yang tersembunyi di balik software yang dijual oleh NetSarang – yang digunakan oleh ratusan bank, perusahaan media, perusahaan energi, perusahaan farmasi, penyedia telekomunikasi, transportasi, logistik dan industri lainnya – untuk 17 hari mulai bulan lalu.

Catatan Penting: Jika kamu menggunakan produk yang terpengaruh (tercantum di bawah), kami sangat menyarankan untuk berhenti menggunakannya sampai kamu memperbaruinya.

Penyerang Menginjeksikan Backdoor Melalui Mekanisme Update Software

Menurut periset di Kaspersky Labs, yang menemukan backdoor tersembunyi ini, seseorang berhasil membajak mekanisme pembaruan NetSarang dan memasukkan backdoor secara diam-diam ke dalam update software, sehingga kode berbahaya tersebut diam-diam dikirimkan ke semua kliennya dengan sertifikat sah dari NetSarang.

ShadowPad adalah contoh bahaya yang ditimbulkan oleh serangan rantai pasokan yang berhasil,” kata periset Kaspersky Labs dalam posting blog mereka yang dipublikasikan pada hari Selasa. “Mengingat peluang pengumpulan data rahasia, penyerang cenderung mengejar jenis serangan ini lagi dan lagi dengan komponen software lain yang banyak digunakan.

Backdoor rahasia terletak di library nssock2.dll dalam paket software Xmanager dan Xshell NetSarang yang diluncurkan di situs NetSarang pada tanggal 18 Juli.

Namun, periset Kaspersky Labs menemukan backdoor dan secara pribadi melaporkannya ke perusahaan pada tanggal 4 Agustus, dan NetSarang segera mengambil tindakan dengan menarik paket software yang dikompromikan dari situs webnya dan menggantinya dengan versi software yang bersih.

Paket software NetSarang yang terkena dampak diantaranya:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

Penyerang Bisa Memicu Perintah Secara Remote

Penyerang menyembunyikan kode backdoor ShadowPad di beberapa lapisan kode terenkripsi yang hanya didekripsi dalam kasus yang dimaksudkan.


Arsitektur berjenjang mencegah logika bisnis sebenarnya dari backdoor agar tidak diaktifkan sampai paket khusus diterima dari server command-and-control tingkat pertama (server C&C) (server C&C aktivasi),” tulis para peneliti.

Sampai saat itu, ping backdoor keluar setiap 8 jam ke server command-and-control dengan informasi dasar tentang komputer yang dikompromikan, termasuk nama domain, detail jaringan, dan nama pengguna.

Inilah Cara Penyerang Mengaktifkan Backdoor:

Aktivasi backdoor akhirnya dipicu oleh catatan DNS TXT yang dibuat khusus untuk nama domain tertentu. Nama domain dihasilkan berdasarkan bulan dan tahun berjalan, dan melakukan pencarian DNS di dalamnya.

Setelah dipicu, DNS command-and-control kembali mengirimkan kembali kunci dekripsi yang didownload oleh software untuk tahap selanjutnya dari kode tersebut, yang secara efektif mengaktifkan backdoor.

Setelah diaktifkan, ShadowPad menyediakan backdoor penuh ke penyerang untuk mendownload dan menjalankan kode arbitrary, membuat proses, dan maintain virtual file system (VFS) di registri, yang dienkripsi dan disimpan di lokasi yang unik untuk setiap korban.

Periset Kaspersky mengatakan bahwa mereka dapat mengkonfirmasi backdoor yang diaktifkan dalam satu kasus, melawan sebuah perusahaan yang tidak disebutkan namanya yang berada di Hong Kong.

Cara Mendeteksi Backdoor Ini Dan Melindungi Perusahaan Kamu

Perusahaan telah meluncurkan pembaruan untuk memberhentikan software berbahaya ini pada tanggal 4 Agustus, dan sedang menyelidiki bagaimana kode backdoor masuk ke dalam softwarenya.

Siapa pun yang belum memperbarui perangkat lunak NetSarang sejak saat itu, sangat dianjurkan untuk mengupgrade ke paket NetSarang versi terbaru segera untuk melindungi dari ancaman apa pun.

Selain itu, periksa apakah ada permintaan DNS dari organisasi kamu ke daftar domain berikut. Jika ya, permintaan untuk domain tersebut harus diblokir.

  • ribotqtonut[.]com
  • nylalobghyhirgh[.]com
  • jkvmdmjyfcvkf[.]com
  • bafyvoruzgjitwr[.]com
  • xmponmzmxkxkh[.]com
  • tczafklirkl[.]com
  • notped[.]com
  • dnsgogle[.]com
  • operatingbox[.]com
  • paniesx[.]com
  • techniciantext[.]com

administrator

Just a simple person who like photography, videography, code, and cyber security enthusiast.