Aktor ancaman yang diduga berbasis di China telah meluncurkan trio malware yang menargetkan database MSSQL dan MySQL pada sistem Windows dan Linux sepanjang tahun, menggelar satu dari tiga strain malware, masing-masing dengan desain dan tujuannya sendiri.

Kelompok ini telah aktif sejak awal tahun ini dan menggunakan infrastruktur yang luas untuk memindai host yang rentan, peluncuran serangan, dan host malware. Infrastruktur yang luas dan strain malware yang tidak terkait ini telah membantu kelompok tersebut tetap tersembunyi dalam insiden yang sebelumnya tidak terkait selama hampir sepanjang tahun.

Penyerang menyebarkan tiga strain malware

Menurut sebuah laporan yang dirilis kemarin, setelah berbulan-bulan melacak serangan misterius, periset keamanan di GuardiCore akhirnya berhasil mengumpulkan dan menghubungkan serangan tersebut.

Melihat operasi kelompok penyerang tersebut, periset mengatakan bahwa mereka melihat tiga kampanye utama, masing-masing menyebarkan strain baru dari malware yang tidak pernah dilihat sebelumnya.

Gelombang pertama serangan menargetkan server Windows yang menjalankan database MSSQL, di mana penyerang menyebarkan strain malware bernama Hex yang bertindak sebagai Remote Access Trojan (RAT) dan sebagai trojan kriptomining.

Gelombang kedua juga menargetkan database MSSQL yang berjalan di server Windows, namun kali ini diserang penyerang dengan strain malware bernama Taylor, yang bekerja sebagai keylogger dan backdoor.

Penyerang mendiversifikasi serangan mereka untuk gelombang ketiga, yang memindai database MSSQL dan MySQL rentan yang berjalan di server Windows dan Linux. Untuk serangan ini, penyerang memasang strain malware baru bernama Hanako, sebuah trojan yang digunakan untuk meluncurkan serangan DDoS.

Penyerang sangat berhati-hati untuk menutupi operasi berbahaya

Penyerang membobol server yang rentan dengan mengkonfigurasi setiap server yang terinfeksi sebelumnya untuk memindai sejumlah kecil alamat IP dan menemukan server database lain yang menggunakan kredensial login lemah.

Penyerang memberikan perhatian khusus untuk membatasi perilaku pemindaian ke sejumlah kecil IP sehingga host yang terinfeksi tidak akan memindai sejumlah besar server lain, dan juga mengandalkan host yang terinfeksi untuk melakukan pemindaian sehingga mereka tidak akan terlalu banyak mengekspos pusat command-and-control (C&C) mereka.

Penyerang juga beralih dari satu strain malware ke yang lain, menjalin kampanye, dan menghasilkan sekitar 300 binari malware unik per gelombang serangan. Selain itu, mereka juga terus memutar server dan domain C&C, sesuatu yang tidak biasa kita lihat kecuali dalam serangan tingkat negara.

Penyerang mengejar infrastruktur cloud

Menurut GuardiCore, penyerang memindai untuk rentang IP publik Azure dan AWS, yang diketahui publik. Mereka berharap bisa menemukan server cloud enterprise yang berjalan dengan kredensial lemah yang menyimpan informasi sensitif.

Sementara penyerang fokus pada sisa di bawah radar produk keamanan canggih, beberapa kampanye menyerang puluhan ribu server. Misalnya, kampanye yang mendistribusikan malware Taylor menargetkan lebih dari 80.000 server di bulan Maret.

Strain malware ini, yang dinamai menurut gambar yang menggambarkan penyanyi AS Taylor Swift yang ditemukan peneliti di salah satu server C&C, sebelumnya salah diidentifikasi oleh Kaspersky sebagai varian Windows untuk malware Mirai pada bulan Februari.

Periset Kaspersky seharusnya tidak merasa buruk dengan penemuan awal mereka, terutama karena keseluruhan operasi sangat baik dijaga. Misalnya, GuardiCore menggambarkan pengalamannya untuk meneliti serangan ini sebagai “pengalaman melarikan diri di mana satu petunjuk mengarah ke yang lain.”

Dalam kasus ini, tantangan ruang pelarian membuat para peneliti sibuk selama hampir setahun. Meskipun penelitiannya rumit, GuardiCore merasa yakin setidaknya mengidentifikasi lokasi penyerang.

Penyerang kemungkinan besar berbasis di China

Banyak bukti menunjukkan bahwa kelompok serangan tersebut berbasis di China,” kata periset. Komentar dalam bahasa China secara rutin ditemukan dalam kode ini, mayoritas korban berbasis di China, RAT menyamarkan dirinya sebagai program populer China dan file konfigurasi daftar alamat email dari penyedia populer China.

Untuk saat ini, MSSQL dan pemilik server MySQL harus memastikan mereka menggunakan kata sandi yang solid untuk akun database mereka, menggunakan firewall yang dapat memblokir serangan brute force, dan juga harus memeriksa sistem mereka untuk mengetahui keberadaan akun admin database berikut, digunakan oleh penyerang untuk membuat backdoors pada sistem yang dikompromikan.

  • hanako
  • kisadminnew1
  • 401hk$
  • guest
  • Huazhongdiguo110

Indikator kompromi lain (IoC) tersedia dalam laporan GuardiCore. Juga kemarin, McAfee menerbitkan sebuah laporan mengenai pembuatan generik dari para awak cybercrime China dan mode operasi reguler mereka yang mungkin memberikan beberapa konteks untuk artikel saat ini.