Security

Kelompok Hacker ‘Earth Lusca’ Rilis Varian Windows dari Malware SprySOCKS untuk Serang Pemerintah

15 minutes ago
3 minutes read

Tim peneliti keamanan dari ESET baru saja membongkar operasi spionase siber tingkat tinggi yang menargetkan institusi pemerintah di sedikitnya empat negara: Taiwan, Pakistan, Thailand, dan Honduras.

Serangan ini digencarkan menggunakan varian baru bersistem operasi Windows dari malware SprySOCKS. Sebelumnya, SprySOCKS dikenal luas di dunia siber sebagai pintu belakang (backdoor) yang dirancang khusus untuk menginfeksi server berbasis Linux.

ESET mengaitkan aktivitas ofensif ini dengan tingkat keyakinan tinggi (high confidence) kepada Earth Lusca, sebuah kelompok peretas (APT group) kelas kakap yang disponsori oleh negara China (juga dikenal dengan nama alias FishMonger, Aquatic Panda, Red Dev 10, dan TAG-22). Kelompok ini secara konsisten mengincar entitas pemerintah yang berfokus pada sektor urusan luar negeri, riset teknologi, serta telekomunikasi.

Dua Varian Baru: WIN_PLUS dan WIN_DRV Berkemampuan Rootkit

Menurut laporan ESET, varian Windows dari SprySOCKS ini memiliki kemampuan sembunyi tingkat tinggi yang jauh lebih berbahaya dibanding versi Linux lamanya. Earth Lusca merilis malware ini dalam dua bentuk varian utama:

1. WIN_PLUS (Backdoor Standar)

Merupakan versi pintu belakang yang lebih ramping, namun memiliki fungsionalitas kendali jarak jauh yang sangat lengkap.

2. WIN_DRV (Rootkit Tingkat Kernel)

Varian hibrida yang dilengkapi dengan driver tingkat kernel (kernel-level drivers) untuk memberikan kemampuan menyamar layaknya Rootkit guna mengelabui perangkat lunak antivirus (EDR/Antivirus Bypass).

Secara garis besar, kedua varian ini berbagi modul kemampuan dasar penjarahan data yang meliputi:

  • Protokol Fleksibel: Mendukung komunikasi data lewat jalur TCP, UDP, hingga WebSocket.
  • Kendali Masif: Menyokong lebih dari 30 perintah C2 (Command and Control) jarak jauh dari server peretas.
  • Manajemen Berkas Penuh: Mampu memanipulasi proses sistem, menyalin, menghapus, mengunduh, mengeksekusi file, hingga bertindak sebagai Proksi SOCKS (baik mode client maupun server).
  • Pemantauan Spionase: Dilengkapi modul keylogger (perekam ketukan papan tik), pencuri data papan klip (clipboard), serta pelacak judul jendela aplikasi yang sedang aktif dibuka oleh korban.

Mekanisme Siluman: Memanfaatkan Sertifikat Bocoran GitHub dan Teknik IFEO

Varian WIN_DRV menunjukkan tingkat kecanggihan yang sangat diwaspadai oleh tim pertahanan siber. Malware ini memuat sebuah driver bernama ‘RawWNPF’ langsung ke dalam memori komputer korban.

Proses pemuatan ini dijembatani oleh driver pembantu bernama fsdiskbit.sys (DriverLoader) yang ditandatangani secara digital memanfaatkan sertifikat keamanan yang bocor dari proyek GitHub PastDSE. Berkat sertifikat valid tersebut, sistem operasi Windows terkecul dan mengizinkan driver berbahaya ini berjalan di level kernel tertinggi.

Begitu driver kernel aktif, SprySOCKS mampu mengeksekusi fungsi manipulasi API Windows untuk menyembunyikan eksistensinya secara total:

[ Driver Kernel Aktif ] ──► Menyembunyikan Proses Berjalan dari Task Manager
                        ──► Menghapus Jejak File dari Daftar Direktori Folder
                        ──► Menyembunyikan Koneksi Jaringan yang Sedang Aktif
                        ──► Mengelabui Kunci Registrasi Windows (Persistence)

Guna mempertahankan posisinya di dalam komputer korban agar tidak hilang saat PC dimatikan (persistence), varian WIN_DRV menyusup lewat fitur Image File Execution Options (IFEO) pada sistem komponen vds.exe. Sementara itu, varian WIN_PLUS mengambil jalur penyamaran sebagai sistem prosesor cetak Windows (Windows Print Processor – VSPMsg).

Manipulasi Trafik TCP Tanpa Port Terbuka dan Indikasi Bootkit UEFI

Inovasi paling licik dari varian WIN_DRV adalah kemampuannya melakukan pengalihan lalu lintas jaringan (TCP traffic diversion). Malware ini dapat menginspeksi seluruh paket data TCP yang masuk ke komputer korban.

Jika mendeteksi paket khusus yang dikirimkan oleh sang peretas, SprySOCKS akan langsung mengalihkan paket tersebut ke pintu belakangnya melalui port TCP acak mana pun. Hasilnya, peretas dapat mengirimkan perintah kontrol tanpa harus membuka port khusus di jaringan, membuat aktivitas komunikasi ini sepenuhnya tidak terdeteksi oleh pemindai keamanan jaringan luar.

Sebagai catatan tambahan, telemetri data ESET juga menangkap indikasi adanya komponen UEFI Bootkit pada malware ini. Komponen tersebut diduga mengeksploitasi celah keamanan Secure Boot (CVE-2023-24932) — sebuah kerentanan zero-day terkenal yang sebelumnya dipopulerkan oleh malware bootkit legendaris BlackLotus untuk menginfeksi komputer bahkan sebelum sistem operasi Windows sempat memuat halaman booting.

Penemuan varian Windows dari SprySOCKS ini menjadi alarm keras bagi organisasi pemerintah di seluruh dunia. Hal ini membuktikan bahwa kelompok Earth Lusca telah sukses memperluas gudang senjata siber mereka agar bisa menyerang berbagai jenis infrastruktur sistem operasi secara universal.

Sumber: ESET Advanced Threat Intelligence Research Unit

Tags
15 minutes ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button