Aktor penjahat siber asal Cina bernama Earth Lusca telah diamati menargetkan entitas pemerintah menggunakan backdoor Linux yang belum pernah dirilis sebelumnya yang disebut sebagai SprySOCKS.
Menurut The Hacker News, Earth Lusca pertama kali didokumentasikan oleh Trend Micro pada Januari 2022, merinci serangan merugikan terhadap entitas sektor publik dan swasta di Asia, Australia, Eropa, dan Amerika Utara. Aktif sejak tahun 2021, kelompok ini mengandalkan serangan spear phishing dan watering hole untuk melakukan operasi spionase dunia maya. Beberapa aktivitas kelompok tersebut tumpang tindih dengan aktivitas kelompok ancaman lain yang dilacak oleh Recorded Future dengan nama RedHotel.
Baca Juga : TikTok Kena Denda Rp5,6 Triliun Akibat Langgar Perlindungan Keamanan Data Anak-Anak Irlandia
Temuan terbaru perusahaan keamanan siber tersebut menunjukkan bahwa Earth Lusca terus menjadi grup yang aktif, bahkan memperluas operasinya untuk menyasar organisasi di seluruh dunia pada paruh pertama tahun 2023. Sasaran utamanya mencakup kementerian pemerintah yang terkait dengan urusan luar negeri, teknologi, dan telekomunikasi. Serangan terkonsentrasi di Asia Tenggara, Asia Tengah dan Balkan.
Rantai infeksi dimulai dengan mengeksploitasi kerentanan keamanan yang diketahui di Fortinet (CVE-2022-39952 dan CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935 ) dan server Zimbra (CVE-2019-9621 dan CVE-2019-9670) untuk menjatuhkan shell web dan mengirim Cobalt Strike untuk bergerak secara horizontal.
“Kelompok ini bermaksud mengumpulkan dokumen dan kredensial akun email, serta menyebarkan pintu belakang yang lebih kompleks seperti versi ShadowPad dan Winnti Linux untuk melakukan operasi spionase jangka panjang terhadap targetnya.” ungkap peneliti keamanan siber Joseph C. Chen dan Jaromir Horejsi.
Baca Juga : Menkominfo Beri Instruksi untuk Segera Berantas Judi Online dalam Tenggat Waktu Seminggu
Server yang digunakan untuk mengirimkan Cobalt Strike dan Winnti juga ditemukan menjadi host SprySOCKS, yang berasal dari backdoor Windows open source Trochilus. Perlu dicatat bahwa penggunaan Trochilus sebelumnya dikaitkan dengan kelompok peretas Tiongkok bernama Webworm. Dimuat melalui varian komponen injektor ELF yang disebut Mandible, SprySOCKS dilengkapi untuk mengumpulkan informasi sistem, memulai shell interaktif, membuat dan menghentikan proxy SOCKS, dan melakukan operasi lain pada berbagai file dan folder.
Komunikasi komando dan kontrol (C2) terdiri dari paket yang dikirim melalui Transmisi Kontrol Protokol (TCP), yang mencerminkan struktur yang digunakan oleh Trojan berbasis Windows yang disebut RedLeaves, yang dikatakan dibangun di Trochilus. Hingga saat ini, setidaknya dua sampel SprySOCKS berbeda (versi 1.1 dan 1.3.6) telah diidentifikasi, menunjukkan bahwa malware tersebut terus-menerus dimodifikasi oleh penyerang untuk menambahkan fitur baru. “Sangat penting bagi organisasi untuk secara proaktif mengelola permukaan serangan mereka, meminimalkan potensi titik masuk ke dalam sistem mereka dan mengurangi kemungkinan keberhasilan pelanggaran,” kata para peneliti.
“Bisnis harus secara teratur melakukan perbaikan dan memperbarui alat, perangkat lunak, dan sistem mereka untuk memastikan keamanan, fungsionalitas, dan kinerja mereka secara keseluruhan.” Tambahnya.
