Credit image: Freepix
Airstalk Malware Lihai Curi Data Perusahaan – Sebuah serangan siber yang diduga didukung oleh aktor ancaman tingkat negara baru-baru ini terungkap ke publik.
Serangan ini menggunakan sebuah malware canggih bernama Airstalk, yang didistribusikan sebagai bagian dari serangan rantai pasokan (supply chain attack) yang terencana.
Peneliti keamanan, yang melacak aktivitas ini di bawah klaster ancaman bernama CL-STA-1009, CL menandakan klaster dan STA merujuk pada motivasi yang didukung negara.
Mengungkapkan bahwa Airstalk dirancang untuk melakukan pencurian data sensitif secara diam-diam dari dalam jaringan perusahaan.
Mengapa Airstalk Begitu Berbahaya?
Airstalk adalah malware Windows yang unik karena ia menyalahgunakan API (Application Programming Interface) dari solusi manajemen perangkat seluler (Mobile Device Management/MDM) populer, yaitu AirWatch (yang kini dikenal sebagai Workspace ONE Unified Endpoint Management).
Alih-alih menggunakan saluran komunikasi Command-and-Control (C2) yang mencurigakan, Airstalk memanfaatkan API yang sah ini untuk tujuan jahat:
- Airstalk menggunakan API AirWatch, khususnya fitur untuk mengelola atribut perangkat kustom dan unggahan berkas, untuk menciptakan saluran komunikasi Command-and-Control (C2) yang tersembunyi.
- Karena komunikasi C2-nya disamarkan sebagai lalu lintas API yang sah (yang biasanya diizinkan atau bahkan whitelist di jaringan korporat), malware ini dapat lolos dari sebagian besar pertahanan perimeter dan deteksi tradisional.
Seperti yang dijelaskan oleh peneliti, Airstalk menggunakan API seolah-olah API tersebut adalah “dead drop resolver” tempat aman yang dipercaya untuk menyimpan dan mengambil informasi yang diperlukan untuk berinteraksi dengan penyerang.
|
Baca juga: Penipuan PayPal Terkini |
Kemampuan Mencuri Data yang Canggih
Malware Airstalk hadir dalam dua varian utama: yang ditulis dalam PowerShell dan yang lebih canggih, ditulis dalam .NET. Keduanya memiliki protokol C2 multi-threaded dan mampu melakukan aksi spionase tingkat tinggi.
1. Varian PowerShell
Varian awal ini menggunakan endpoint /api/mdm/devices/ untuk komunikasinya. Setelah terhubung, ia menunggu pesan aksi (ACTIONS) dari penyerang dan mengirimkan hasil eksekusi (RESULT). Kemampuan utamanya meliputi:
- Mengambil tangkapan layar (screenshot).
- Mencuri cookies, riwayat, dan bookmarks dari Google Chrome.
- Mencantumkan semua berkas di direktori pengguna.
- Mencopot pemasangan (uninstall) dirinya sendiri dari host yang disusupi.
Untuk mengirimkan data atau berkas dalam jumlah besar, malware ini bahkan menggunakan fitur ‘blobs’ dari API MDM AirWatch untuk mengunggah konten tersebut sebagai data baru, menjadikannya proses yang terlihat seperti unggahan data MDM normal.
2. Varian .NET (Lebih Maju)
.NET dianggap sebagai versi yang lebih maju karena memiliki lebih banyak kemampuan, termasuk menargetkan peramban (browser) tambahan seperti Microsoft Edge dan Island (peramban yang berfokus pada perusahaan).
Varian ini menambahkan fungsionalitas seperti:
- Fokus pada peramban yang banyak digunakan di lingkungan perusahaan menunjukkan target spesifik terhadap aset bisnis.
- Berupaya meniru utilitas internal AirWatch (AirwatchHelper.exe) agar tidak dicurigai.
- Selain kemampuan dasar, varian .NET dapat mencantumkan profil peramban (Chrome dan Island), mengunggah artefak spesifik dan kredensial, serta mengeksfiltrasi semua cookies dari profil Chrome yang sedang dibuka (ExfilAlreadyOpenChrome).
|
Baca juga: Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker |
Penargetan Sektor BPO dan Sertifikat Curian
Peneliti menduga kuat bahwa serangan ini merupakan serangan rantai pasokan (supply chain) yang menargetkan sektor Business Process Outsourcing (BPO).
Organisasi yang bergerak di bidang BPO telah menjadi target yang menggiurkan bagi penyerang kriminal maupun aktor negara kata para peneliti. Penyerang bersedia berinvestasi besar untuk tidak hanya menyusupi mereka tetapi juga mempertahankan akses tanpa batas.
Dengan menyusupi satu penyedia BPO, penyerang dapat memperoleh akses tidak langsung ke banyak lingkungan klien mereka. Pencurian cookies sesi peramban adalah tujuan utama, karena data ini dapat memberikan akses ke berbagai sistem klien BPO tanpa perlu kredensial (kata sandi).
Selain itu, ditemukan bahwa beberapa sampel varian .NET Airstalk telah ditandatangani menggunakan sertifikat digital yang dicuri dari sebuah perusahaan otomasi industri.
Penggunaan sertifikat yang valid ini adalah taktik umum yang digunakan untuk mengelabui sistem keamanan berbasis reputasi dan memperpanjang waktu pendeteksian.
Tindakan Pencegahan untuk Perusahaan
Penemuan Airstalk menjadi peringatan serius tentang bagaimana ancaman tingkat negara menggunakan teknik yang semakin canggih dan tidak konvensional. Untuk melindungi diri, organisasi perlu mengambil langkah-langkah berikut:
- Tinjau izin akses pada API MDM (seperti Workspace ONE UEM). Terapkan prinsip hak istimewa paling minim (Least Privilege) dan pantau secara ketat penggunaan API, terutama fungsi unggahan blob atau modifikasi atribut kustom.
- Gunakan solusi deteksi dan respons endpoint (EDR) yang canggih yang mampu menganalisis perilaku anomali, bukan hanya tanda tangan malware. Perhatikan proses yang mencoba meniru utilitas sistem atau menyalahgunakan API yang sah.
- Jika Anda menggunakan layanan BPO atau vendor pihak ketiga lainnya, pastikan mereka memiliki standar keamanan yang sangat ketat, terutama dalam pengelolaan aset dan sesi peramban.
- Batasi eksekusi berkas yang ditandatangani oleh penerbit (issuer) yang tidak dikenal atau baru. Lakukan investigasi jika sertifikat yang sah digunakan untuk menandatangani berkas yang tampaknya tidak terkait.
Penyalahgunaan API MDM yang sah untuk komunikasi C2 oleh Airstalk menunjukkan evolusi baru dalam teknik siluman. Perusahaan harus berinvestasi dalam pertahanan yang berfokus pada perilaku, bukan hanya pada lokasi jaringan.
Sumber berita:
