Peretas Tiongkok Mengeksploitasi Zero-Day SolarWinds Baru dalam Serangan Bertarget

Peretas Tiongkok Mengeksploitasi Zero-Day SolarWinds Baru dalam Serangan Bertarget

 

Bacaan Lainnya

Microsoft Threat Intelligence Center (MSTIC) pada hari Selasa mengungkapkan eksploitasi eksekusi kode jarak jauh nol hari, yang digunakan untuk menyerang perangkat lunak FTP SolarWinds Serv-U dalam serangan terbatas dan ditargetkan. Microsoft mengungkapkan bahwa serangan tersebut terkait dengan kelompok ancaman yang berbasis di China yang dilacak sebagai ‘DEV-0322.’

“MSTIC mengaitkan kampanye ini dengan kepercayaan tinggi kepada DEV-0322, sebuah kelompok yang beroperasi di luar China, berdasarkan viktimologi, taktik, dan prosedur yang diamati,” kata Microsoft dalam pembaruan pada hari Rabu.

Untuk melakukan serangan itu, pelaku ancaman menyebarkan malware di perangkat lunak Orion yang dijual oleh perusahaan manajemen TI SolarWinds. Menurut outlet media lokal, para peretas mengeksploitasi setidaknya 250 agen federal dan organisasi top di AS.

Dilacak sebagai CVE-2021-35211, kerentanan RCE berada dalam implementasi protokol Secure Shell (SSH) Serv-U. Meskipun sebelumnya terungkap bahwa serangan itu terbatas dalam ruang lingkup, SolarWinds mengatakan tidak mengetahui identitas pelanggan yang berpotensi terpengaruh.

“Kerentanan yang dieksploitasi adalah CVE-2021-35211, yang baru-baru ini ditambal oleh SolarWinds. Kami sangat mendesak semua pelanggan untuk memperbarui instans Serv-U mereka ke versi terbaru yang tersedia,” saran Microsoft.

Pada hari Selasa, SolarWinds menerbitkan pembaruan keamanan untuk kerentanan zero-day di server FTP Serv-U yang memungkinkan eksekusi kode jarak jauh saat SSH diaktifkan. Menurut SolarWinds, kelemahan ini diungkapkan oleh Microsoft, yang melihat seorang peretas secara aktif mengeksploitasinya untuk menjalankan perintah pada perangkat pelanggan yang rentan.

“Grup aktivitas ini berbasis di China dan telah diamati menggunakan solusi VPN komersial dan router konsumen yang disusupi dalam infrastruktur penyerang mereka,” kata posting blog baru oleh Microsoft Threat Intelligence Center.

Menurut Microsoft, kelompok peretasan ‘DEV-0322’ sebelumnya menargetkan entitas di Sektor Pangkalan Industri AS dan perusahaan perangkat lunak. “Sektor Pangkalan Industri Pertahanan (DIB) adalah kompleks industri di seluruh dunia yang memungkinkan penelitian dan pengembangan (R&D), serta desain, produksi, pengiriman, dan pemeliharaan sistem senjata militer, subsistem, dan komponen atau suku cadang, untuk memenuhi kebutuhan militer AS. persyaratan,” jelas dokumen CISA yang menjelaskan sektor DIB.

Pada bulan Desember 2020, Microsoft mengungkapkan bahwa kelompok spionase terpisah mungkin telah mengeksploitasi perangkat lunak Orion penyedia infrastruktur TI untuk menjatuhkan pintu belakang persisten yang disebut Supernova pada sistem yang disusupi. Penyusupan tersebut telah dikaitkan dengan aktor ancaman terkait China yang disebut Spiral.

Pos terkait