Kelompok hacker yang tidak diketahui membajak server download CCleaner untuk mendistribusikan versi perangkat lunak system optimization software populer dengan menargetkan setidaknya 20 perusahaan teknologi besar internasional dengan dilengkapi payload berbahaya tahap kedua. Awal pekan ini, CCleaner dilaporkan oleh para peneliti keamanan yang menyakini terdapat malware tahap kedua yang digunakan dalam serangan besar-besaran. Perusahaan pengembang CCleaner akhinnya menyeluarkan versi update untuk menyingkirkan perangkat lunak berbahaya tersebut.



Selama analisis, terdapat command-and-control (C2) server yang terhubung dengan versi berbahaya CCleaner, peneliti keamanan dari Grup Talos Cisco menemukan bukti muatan kedua berupa (GeeSetup_x86.dll, modul backdoor ringan) yang dikirim ke daftar komputer tertentu berdasarkan nama domain lokal. Menurut daftar yang telah disebutkan dalam konfigurasi server C2, serangan tersebut dirancang untuk menemukan komputer di dalam jaringan perusahaan teknologi besar dan mengirimkan muatan sekunder. Perusahaan sasaran meliputi:
  •     Google
  •     Microsoft
  •     Cisco
  •     Intel
  •     Samsung
  •     Sony
  •     HTC
  •     Linksys
  •     D-Link
  •     Akamai
  •     VMware
Dalam database, para peneliti menemukan daftar hampir 700.000 mesin yang terinfeksi versi berbahaya CCleaner yang terdapat muatan tahap pertama, dan setidaknya ada 20 mesin yang terinfeksi muatan sekunder untuk mendapatkan pijakan yang lebih dalam pada sistem. Peretas CCleaner secara khusus memilih 20 mesin ini berdasarkan nama Domain, alamat IP, dan Hostname korban. Para peneliti percaya malware sekunder ini kemungkinan ditujukan untuk spionase industri.

Menurut para peneliti dari Kaspersky, malware CCleaner terdapat beberapa kode hacking yang digunakan oleh kelompok hacking China yang disebut Axiom, yang juga dikenal sebagai APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx atau AuroraPanda.     "Malware yang disuntikkan ke #CCleaner telah berbagi kode dengan beberapa alat yang digunakan oleh salah satu grup APT dari #Axiom APT 'umbrella'," kata direktur tim Riset dan Analisis Global di Kaspersky Lab.

Peneliti Cisco juga mencatat bahwa satu file konfigurasi pada server penyerang ditetapkan untuk zona waktu China, yang mengindikasikan bahwa China bisa menjadi sumber serangan CCleaner. Namun, bukti ini saja tidak cukup untuk atribusi. Peneliti Cisco Talos juga mengatakan bahwa mereka telah memberi tahu perusahaan teknologi yang terkena dampak tentang kemungkinan pelanggaran tersebut. Hanya dengan menghapus aplikasi perangkat lunak Avast dari mesin yang terinfeksi tidak akan cukup untuk menyingkirkan muatan malware tahap kedua dari CCleaner dari jaringan mereka, dengan server C2 yang masih aktif.

Jadi, perusahaan yang terkena dampak dengan komputer yang masih terinfeksi dengan versi berbahaya dari CCleaner sangat disarankan untuk memulihkan sistem mereka sepenuhnya dari versi cadangan. Perlu diketahu, Windows 32-bit versi CCleaner v5.33.6162 dan CCleaner Cloud v1.07.3191 terpengaruh oleh malware tersebut, dan pengguna yang terkena dampak harus memperbarui perangkat lunak ke versi 5.34 atau lebih tinggi.
 
Top