Peretas Cina Sebarkan Rootkit Microsoft-signed untuk Menargetkan Sektor Game

Cyberthreat.id - Peneliti keamanan dunia maya telah menemukan rootkit baru Microsoft-signed yang dirancang untuk berkomunikasi dengan infrastruktur serangan yang dikendalikan aktor.

The Hacker News menyebutkan, Trend Micro mengaitkan klaster aktivitas dengan aktor yang sama yang sebelumnya diidentifikasi sebagai di balik rootkit FiveSys, yang terungkap pada Oktober 2021.

"Aktor jahat ini berasal dari China dan korban utama mereka adalah sektor game di China," kata Mahmoud Zohdy, Sherif Magdy, dan Mohamed Fahmy dari Trend Micro, kepada The Hacker News.

“Malware mereka tampaknya telah melewati proses Windows Hardware Quality Labs (WHQL) untuk mendapatkan tanda tangan yang valid.”

Berbagai varian rootkit yang mencakup delapan kluster berbeda telah ditemukan, dengan 75 driver tersebut ditandatangani menggunakan program WHQL Microsoft pada tahun 2022 dan 2023.

Analisis Trend Micro terhadap beberapa sampel telah mengungkapkan adanya pesan debug dalam kode sumber, yang menunjukkan bahwa operasi tersebut masih dalam tahap pengembangan dan pengujian.

Dalam langkah selanjutnya, pengandar tahap pertama menonaktifkan Kontrol Akun Pengguna (UAC) dan mode Desktop Aman dengan mengedit registri dan menginisialisasi objek Kernel Winsock (WSK) untuk memulai komunikasi jaringan dengan server jarak jauh.

Lebih lanjut secara berkala meminta server untuk mengambil lebih banyak muatan dan memuatnya langsung ke memori setelah mendekripsi dan mendekripsi data yang diterima, berfungsi secara efektif sebagai pemuat driver kernel tersembunyi yang dapat melewati deteksi.

"Biner utama bertindak sebagai pemuat universal yang memungkinkan penyerang memuat langsung modul kernel unsigned tahap kedua," jelas para peneliti.

"Setiap plugin tahap kedua disesuaikan dengan mesin korban yang digunakannya, dengan beberapa bahkan berisi driver yang dikompilasi khusus untuk setiap mesin. Setiap plugin memiliki serangkaian tindakan khusus yang harus dilakukan dari ruang kernel."

Lebih lanjut The Hacker News menyebutkan bahwa plug-in, untuk bagian mereka, hadir dengan kemampuan berbeda untuk mencapai kegigihan, menonaktifkan Microsoft Defender Antivirus, dan menyebarkan proxy pada mesin dan mengarahkan lalu lintas penjelajahan web ke server proxy jarak jauh.

“Sama seperti FiveSys, deteksi rootkit baru telah dibatasi secara eksklusif di China. Salah satu titik masuk yang dicurigai untuk infeksi ini dikatakan sebagai permainan Cina yang di-trojanisasi, mencerminkan penemuan Cisco Talos tentang pengemudi jahat bernama RedDriver.”

Menurut The Hacker News, temuan itu sejalan dengan laporan lain dari Cisco Talos dan Sophos tentang penggunaan driver kernel-mode berbahaya bertanda Microsoft untuk aktivitas pasca-eksploitasi, dengan aktor ancaman berbahasa Mandarin menggunakan perangkat lunak open-source yang populer dalam komunitas pengembangan cheat video game untuk melewatinya.

Disebutkan, sebanyak 133 driver berbahaya yang ditandatangani dengan sertifikat digital yang sah telah ditemukan, 81 di antaranya mampu menghentikan solusi antivirus pada sistem korban.

Driver yang tersisa adalah rootkit yang dirancang untuk secara diam-diam memantau data sensitif yang dikirim melalui internet.

Fakta bahwa driver ini ditandatangani oleh Program Kompatibilitas Perangkat Keras Windows (WHCP) berarti bahwa penyerang dapat menginstalnya pada sistem yang dilanggar tanpa memunculkan peringatan apa pun dan terus melakukan aktivitas berbahaya hampir tanpa hambatan.

"Karena driver sering berkomunikasi dengan 'inti' sistem operasi dan memuat sebelum perangkat lunak keamanan, ketika disalahgunakan, mereka dapat sangat efektif menonaktifkan perlindungan keamanan - terutama ketika ditandatangani oleh otoritas tepercaya," kata Christopher Budd, direktur ancaman penelitian di Sophos X-Ops kepada The Hacker News.

Microsoft, menanggapi pengungkapan tersebut, mengatakan telah menerapkan perlindungan pemblokiran dan menangguhkan akun penjual mitra yang terlibat dalam insiden tersebut untuk melindungi pengguna dari ancaman di masa mendatang.

Jika ada, pengembangan melukiskan gambaran vektor serangan yang berkembang yang sedang aktif digunakan oleh musuh untuk mendapatkan akses istimewa ke mesin Windows dan deteksi sidetep oleh perangkat lunak keamanan.

"Aktor jahat akan terus menggunakan rootkit untuk menyembunyikan kode jahat dari alat keamanan, merusak pertahanan, dan terbang di bawah radar untuk jangka waktu yang lama," kata para peneliti. "Rootkit ini akan banyak digunakan oleh kelompok canggih yang memiliki keterampilan untuk merekayasa balik komponen sistem tingkat rendah dan sumber daya yang diperlukan untuk mengembangkan alat semacam itu."[]