Pelaku serangan siber asal Tiongkok yang dilacak sebagai UNC3886 menggunakan rootkit sumber terbuka yang tersedia untuk umum bernama ‘Reptil’ dan ‘Medusa’ untuk tetap tersembunyi di mesin virtual VMware ESXi, sehingga memungkinkan mereka melakukan pencurian kredensial, eksekusi perintah, dan pergerakan lateral.
Mandiant telah lama melacak pelaku ancaman, dan sebelumnya melaporkan serangan terhadap organisasi pemerintah yang memanfaatkan kerentanan zero-day Fortinet dan dua kerentanan zero-day VMware yang dieksploitasi dalam jangka waktu lama.
Laporan baru dari Mandiant mengungkap penggunaan rootkit yang disebutkan di atas oleh UNC3886 pada mesin virtual untuk persistensi dan penghindaran jangka panjang, serta alat malware khusus seperti ‘Mopsled’ dan ‘Riflespine’, yang memanfaatkan GitHub dan Google Drive untuk komando dan kontrol.
Serangan terbaru UNC3886, menurut Mandiant, menargetkan organisasi di Amerika Utara, Asia Tenggara, dan Oseania, dengan korban tambahan teridentifikasi di Eropa, Afrika, dan wilayah Asia lainnya. Industri yang menjadi sasaran mencakup sektor pemerintahan, telekomunikasi, teknologi, dirgantara, pertahanan, serta sektor energi dan utilitas.
Rootkit VM VMware ESXi
Mandiant mengatakan pelaku ancaman memasang rootkit sumber terbuka pada VMware ESXi untuk mempertahankan akses untuk operasi jangka panjang.
Rootkit adalah perangkat lunak berbahaya yang memungkinkan pelaku ancaman menjalankan program dan membuat modifikasi yang tidak dapat dilihat oleh pengguna di sistem operasi. Jenis malware ini memungkinkan pelaku ancaman menyembunyikan kehadiran mereka saat terlibat dalam perilaku jahat.
“Setelah mengeksploitasi kerentanan zero-day untuk mendapatkan akses ke server vCenter dan selanjutnya mengelola server ESXi, aktor memperoleh kendali penuh atas mesin virtual tamu yang berbagi server ESXi yang sama dengan server vCenter,” jelas Mandiant.
Mandiant mengamati aktor tersebut menggunakan dua rootkit yang tersedia untuk umum, REPTILE dan MEDUSA, pada mesin virtual tamu untuk mempertahankan akses dan menghindari deteksi.
Reptil adalah rootkit Linux sumber terbuka yang diimplementasikan sebagai modul kernel yang dapat dimuat (LKM), dirancang untuk menyediakan akses pintu belakang dan memfasilitasi persistensi yang tersembunyi.
Komponen utama reptil adalah:
- Komponen mode pengguna (REPTILE.CMD) yang berkomunikasi dengan komponen mode kernel untuk menyembunyikan file, proses, dan koneksi jaringan.
- Komponen shell terbalik (REPTILE.SHELL) yang dapat dikonfigurasi untuk mendengarkan paket aktivasi melalui TCP, UDP, atau ICMP, menyediakan saluran tersembunyi untuk eksekusi perintah jarak jauh.
- Komponen tingkat kernel yang terhubung ke fungsi kernel untuk melakukan tindakan yang ditugaskan oleh komponen mode pengguna.
- “REPTILE tampaknya menjadi rootkit pilihan UNC3886 karena diamati diterapkan segera setelah mendapatkan akses ke titik akhir yang disusupi,” lanjut Mandiant.
“REPTILE menawarkan fungsionalitas pintu belakang yang umum, seperti eksekusi perintah dan kemampuan transfer file, serta fungsionalitas siluman yang memungkinkan pelaku ancaman untuk secara mengelak mengakses dan mengendalikan titik akhir yang terinfeksi melalui port knocking.”
UNC3886 memodifikasi rootkit untuk menggunakan kata kunci unik untuk penerapan yang berbeda, membantu dalam penghindaran, sementara mereka juga membuat perubahan pada peluncur rootkit dan skrip startup yang bertujuan untuk meningkatkan persistensi dan stealth.
Rootkit sumber terbuka kedua yang digunakan pelaku ancaman dalam serangan adalah Medusa, yang dikenal dengan pembajakan tautan dinamisnya melalui ‘LD_PRELOAD.’
Fokus fungsional Medusa adalah pencatatan kredensial, menangkap kata sandi akun dari login lokal dan jarak jauh yang berhasil. Ia juga melakukan pencatatan eksekusi perintah, memberikan penyerang informasi tentang aktivitas korban dan wawasan tentang lingkungan yang disusupi.
Mandiant mengatakan Medusa biasanya digunakan setelah Reptil sebagai alat pelengkap menggunakan komponen terpisah bernama ‘Seelf.’ Beberapa penyesuaian juga diamati di Medusa, dengan UNC3886 mematikan filter tertentu dan mengubah string konfigurasi.
Malware khusus
UNC3886 juga diamati menggunakan kumpulan alat malware khusus dalam pengoperasiannya, beberapa di antaranya disajikan untuk pertama kalinya.
Alat serangan yang paling penting adalah:
- Mopsled – Pintu belakang modular berbasis Shellcode yang dirancang untuk mengambil dan mengeksekusi plugin, memungkinkannya memperluas kemampuannya secara dinamis. Ini terlihat di server vCenter, dan titik akhir lainnya yang dilanggar bersama Reptile.
- Riflespine – Pintu belakang lintas platform yang memanfaatkan Google Drive untuk komando dan kontrol (C2). Ia menggunakan layanan systemd untuk persistensi, mengumpulkan informasi sistem, dan menjalankan perintah yang diterima dari C2.
- Lookover – Sniffer khusus untuk menangkap kredensial TACACS+ dengan memproses paket autentikasi, mendekripsi, dan mencatat kontennya. Diterapkan di server TACACS+, ini membantu penyerang memperluas jangkauan akses jaringan mereka.
- Backdoor SSH execute – UNC3886 menyebarkan versi klien dan daemon SSH yang dimodifikasi untuk menangkap kredensial dan menyimpannya dalam file log terenkripsi XOR. Untuk mencegah penimpaan oleh pembaruan, penyerang menggunakan ‘yum-versionlock.’
- VMCI backdoor – Keluarga pintu belakang yang memanfaatkan Antarmuka Komunikasi Mesin Virtual (VMCI) untuk memfasilitasi komunikasi antara mesin virtual tamu dan host. Termasuk ‘VirtualShine’ (akses bash shell melalui soket VMCI), ‘VirtualPie’ (transfer file, eksekusi perintah, reverse shell), dan ‘VirtualSphere’ (pengontrol yang mengirimkan perintah).
