Microsoft: Marak Penjahat Siber Menargetkan rantai-pasokan Software

Microsoft telah berbagi rincian serangan baru yang mencoba menyebarkan malware crypto-mining ke sejumlah besar pengguna dengan mengorbankan perangkat lunak yang memasok mitra pengembang aplikasi tertentu.

Serangan multi-tier mengandalkan kompromi infrastruktur bersama antara vendor editor PDF dan salah satu mitranya yang menyediakan paket font provider tambahan untuk aplikasi: penyerang yang ditujukan pada rantai pasokan software akan terinstal.

Microsoft mengatakan kompromi itu tampaknya aktif antara Januari dan Maret 2018, dan bisa berdampak pada enam vendor lain yang bekerja dengan penyedia font paket provider.

Dilakukan dengan diam-diam, serangan awalnya muncul sebagai infeksi khas dan secara otomatis diblokir, tetapi pola infeksi yang sama diamati di sejumlah besar malware mesin penambang koin. Menurut perusahaan Redmon yang baru berusia satu tahun ini bergabung diruang teknologi blockchain menggandeng Ernst&Young (EY).

Lebih lanjut Windows Defender APT akhirnya mengingatkan pada hampir 70.000 insiden yang melibatkan proses penambangan koin virtual yang menyamar sebagai pagefile.sys, yang diluncurkan oleh layanan bernama xbox-service.exe, tim Microsoft Windows Defender ATP Research menjelaskan dalam laporan blog komputasi awan.

Investigasi Microsoft mengungkapkan bahwa paket penginstal berbahaya (MSI) sedang diunduh oleh PDF editor selama instalasi, bersama dengan penginstal sah lainnya. Kemudian diketahui bahwa vendor aplikasi itu sendiri belum dikompromikan, tetapi paket jahat tersebut dilayani oleh mitra yang membuat dan mendistribusikan paket font tambahan yang digunakan oleh aplikasi.

Para penyerang menemukan kelemahan dalam interaksi antara vendor aplikasi dan mitranya dan juga menemukan cara untuk memanfaatkannya untuk membajak rantai instalasi paket font MSI, sehingga mengubah editor PDF menjadi pembawa tak terduga dari muatan malicious.

Microsoft menemukan bahwa para penyerang telah membuat replika infrastruktur mitra perangkat lunak di server mereka sendiri dan menyalin coding serta menghosting semua file MSI, termasuk paket font, di sana. Mereka hanya memodifikasi paket font Asia untuk menambahkan muatan malicious ke dalamnya.

Para penyerang juga berhasil mempengaruhi parameter pengunduhan yang digunakan oleh aplikasi PDF sehingga mengarah ke server mpunya attacker, yang menghasilkan pengunduhan paket font MSI dari server rogue. Dengan demikian, pengguna akhirnya menginstal malware penambang koin bersama dengan aplikasi yang sah.

Saat perangkat dimulai restart ulang, file MSI berbahaya akan diganti dengan versi yang sah. Microsoft juga menemukan nama aplikasi PDF hardcoded dalam paket jahat dan menyimpulkan bahwa setidaknya enam vendor tambahan mungkin telah ditargetkan oleh para penyerang.

"Meskipun kami tidak dapat menemukan bukti bahwa vendor lain ini mendistribusikan MSI jahat, para penyerang jelas beroperasi dengan plot distribusi yang lebih luas dalam pikiran," kata Microsoft.

Perangkat lunak jahat penambang koin virtual tersebut terdeteksi sebagai Trojan: Win64 / CoinMiner, penambang jahat akan bersembunyi di balik nama xbox-service.exe dan menggunakan sumber daya mesin yang terinfeksi untuk menambang Monero. Perangkat lunak perusak juga berusaha mencegah pembersihan dan pemulihan jarak jauh dengan memblokir komunikasi dengan server pembaruan aplikasi PDF tertentu.

Ancaman itu juga mengisyaratkan pada script-browser sebagai bentuk alternatif penambangan koin virtual, tetapi tidak jelas apakah ini merupakan rencana sekunder atau pekerjaan yang sedang berjalan.

"Insiden rantai pasokan baru malicious ini tampaknya tidak melibatkan penyerang negara-negara atau musuh yang canggih tetapi tampaknya dihasut oleh penjahat dunia maya yang mencoba mengambil keuntungan dari penambangan koin menggunakan sumber daya komputasi yang dibajak," kata Microsoft.

Selain laporan CrowdStrike yang diterbitkan awal pekan ini menyoroti meningkatnya jumlah serangan cyber yang menargetkan rantai pasokan software. Namun insiden ini tidak seperti laporan serangan beberapa siber Espionage terbesar termasuk insiden NotPetya dilaporkan Gedung Putih. Dan juga perangkat lunak CCleaner tahun lalu, yang berdampak jutaan kompromi.

Serangan itu diungkapkan pada 18 September, ketika perusahaan keamanan Avast melaporkan bahwa ada sekitar  2,27 juta pengguna di seluruh dunia telah mengunduh file instalasi CCleaner yang terinfeksi antara 15 Agustus dan 12 September. Peretas/ cyber sspionage negara tertentu telah menambahkan backdoor ke CCleaner v5.33.6162 32-bit dan rilis CCleaner Cloud v1 .07.3191, Avast mengungkapkan.

Share this post