 |
| Sumber:Netsarang |
Dilansir dari Security Week,
NetSarang, yang memiliki kantor di Amerika Serikat dan Korea Selatan, mengkhususkan diri pada solusi konektivitas yang aman. Beberapa produk yang paling populer adalah Xshell, Xmanager, Xftp dan Xlpd.
Kaspersky menemukan backdoor pada alat ini setelah salah satu pelanggannya di sektor keuangan melihat permintaan DNS yang mencurigakan berasal dari paket perangkat lunak NetSarang.
Investigasi yang dilakukan oleh vendor mengungkapkan bahwa versi terbaru dari Xmanager Enterprise 5 (build 1232), Xmanager 5 (build 1045), Xshell 5 (build 1322), Xftp 5 (build 1218) dan Xlpd 5 (build 1220) telah disusupi .
Pakar keamanan percaya bahwa penyerang memodifikasi kode sumber atau menambal perangkat lunak di server pembuatan NetSarang setelah mendapatkan akses ke sistem perusahaan. Bangunan yang terkena dampak dilepaskan pada 18 Juli dan backdoor baru ditemukan pada 4 Agustus.
Produk NetSarang digunakan oleh ratusan perusahaan perangkat lunak keuangan, perangkat lunak, media, energi, elektronika, asuransi, industri, konstruksi, manufaktur, ritel, telekomunikasi, farmasi dan transportasi. Namun, Kaspersky hanya melihat muatan berbahaya yang diaktifkan pada sistem perusahaan di Hong Kong.
Kaspersky mengatakan malware tersebut dapat terbengkalai di jaringan organisasi lain, namun NetSarang mengatakan bahwa pihaknya memperingatkan industri antivirus sehingga produk keamanan mungkin telah menetralisir file-file jahat tersebut.
Malware, yang dideteksi oleh Kaspersky sebagaiBackdoor.
Win32.ShadowPad.a, berkomunikasi dengan server komando dan kontrol (C & C) melalui kueri DNS yang dikirim setiap delapan jam sekali. Permintaan berisi informasi tentang mesin yang terinfeksi, termasuk nama pengguna, nama domain dan nama host.
Jika sistem yang terinfeksi menarik bagi penyerang, mereka mengaktifkan backdoor lengkap yang bisa mereka gunakan untuk mendownload dan menjalankan malware lainnya.
“Jika backdoor diaktifkan, penyerang bisa mengunggah file, membuat proses, dan menyimpan informasi di sistem file virtual VFS yang terdapat di dalam registri korban. VFS dan file tambahan yang dibuat oleh kode dienkripsi dan disimpan di lokasi yang unik untuk setiap korban, “para peneliti menjelaskan.
Kaspersky mengatakan kelompok ancaman di balik serangan ini berhati-hati untuk tidak meninggalkan terlalu banyak bukti, namun para periset menemukan beberapa tautan ke PlugX andWinnti, malware yang diyakini telah dikembangkan oleh aktor-aktor berbahasa China.
Perusahaan keamanan telah menyediakan indikator kompromi (IoC) untuk membantu organisasi mendeteksi serangan ini. NetSarang juga telah menerbitkan peringatan keamanan untuk menginformasikan kepada pelanggan tentang langkah-langkah yang perlu diambil untuk mengatasi masalah ini.
Bulan lalu, NetSarang memberitahu pelanggan bahwa mereka telah merilis sebuah pembaruan untuk dokumen Xshellafter yang diterbitkan oleh WikiLeaks mengungkapkan bahwa alat tersebut telah ditargetkan oleh perangkat lunak BothanSpy milik CIA.
