Credit image: Freepix
Keylogger Curi Kredensial di Server Microsoft Exchange – Para pelaku ancaman siber yang belum teridentifikasi dilaporkan telah menargetkan server Microsoft Exchange yang terekspos publik. Mereka menyuntikkan kode berbahaya ke halaman login untuk mencuri kredensial pengguna.
Menurut analisis terbaru yang diterbitkan oleh Positive Technologies minggu lalu, mereka telah mengidentifikasi dua jenis kode keylogger berbeda yang ditulis dalam JavaScript pada halaman login Outlook:
- Keylogger yang menyimpan data terkumpul ke file lokal yang dapat diakses melalui internet.
- Keylogger yang langsung mengirimkan data terkumpul ke server eksternal.
Vendor keamanan siber asal Rusia ini menyatakan bahwa serangan tersebut telah menargetkan 65 korban di 26 negara di seluruh dunia. Ini merupakan kelanjutan dari kampanye yang pertama kali didokumentasikan pada Mei 2024, yang saat itu menargetkan entitas di Afrika dan Timur Tengah.
Pada saat itu, Positive Technologies melaporkan telah mendeteksi setidaknya 30 korban, termasuk lembaga pemerintah, bank, perusahaan IT, dan institusi pendidikan, dengan bukti kompromi pertama yang terdeteksi sejak tahun 2021.
|
Baca juga: Phising Faktur Palsu Microsoft 365 |
Memanfaatkan Celah Lama dengan Taktik Baru
Rantai serangan ini melibatkan eksploitasi kerentanan yang sudah diketahui pada Microsoft Exchange Server, seperti ProxyShell, untuk menyisipkan kode keylogger ke dalam halaman login. Saat ini, identitas di balik serangan ini masih belum diketahui.
Beberapa kerentanan yang dimanfaatkan oleh para penyerang meliputi:
- CVE-2014-4078 – Kerentanan Bypass Fitur Keamanan IIS
- CVE-2020-0796 – Kerentanan Eksekusi Kode Jarak Jauh Klien/Server Windows SMBv3
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (ProxyLogon)
- CVE-2021-31206 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 – Kerentanan Bypass Fitur Keamanan Microsoft Exchange Server (ProxyShell)
Peneliti keamanan Klimentiy Galkin dan Maxim Suslov menjelaskan, “Kode JavaScript berbahaya membaca dan memproses data dari formulir autentikasi, kemudian mengirimkannya melalui permintaan XHR ke halaman tertentu di Exchange Server yang telah dikompromikan.”
Mereka menambahkan, “Kode sumber halaman target berisi fungsi handler yang membaca permintaan masuk dan menulis data ke file di server.” File yang berisi data yang dicuri ini dapat diakses dari jaringan eksternal. Beberapa varian dengan kemampuan keylogging lokal juga ditemukan mengumpulkan cookies pengguna, string User-Agent, dan timestamp.
Keunggulan dari pendekatan ini adalah peluang deteksi sangat kecil karena tidak ada lalu lintas keluar (outbound traffic) untuk mengirimkan informasi, sehingga malware dapat beroperasi dalam jangka waktu yang lama tanpa terdeteksi.
|
Baca juga: Serangan Phising Microsoft Team |
Varian Eksfiltrasi Data yang Lebih Canggih
Varian kedua yang terdeteksi oleh Positive Technologies menggunakan bot Telegram sebagai titik eksfiltrasi melalui permintaan XHR GET, dengan login dan kata sandi yang dienkode disimpan di header APIKey dan AuthToken.
Metode kedua lainnya melibatkan penggunaan tunnel DNS bersama dengan permintaan HTTPS POST untuk mengirimkan kredensial pengguna dan menyusup melewati pertahanan organisasi. Penggunaan tunnel DNS ini memungkinkan data dieksfiltrasi melalui saluran yang sering kali kurang diawasi, membuatnya lebih sulit untuk dideteksi oleh sistem keamanan tradisional.
Sebanyak 22 dari server yang dikompromikan ditemukan berada di organisasi pemerintah, diikuti oleh infeksi pada perusahaan IT, industri, dan logistik. Vietnam, Rusia, Taiwan, Tiongkok, Pakistan, Lebanon, Australia, Zambia, Belanda, dan Turki termasuk di antara 10 target teratas.
Ancaman Jangka Panjang dan Rekomendasi Keamanan
Sejumlah besar server Microsoft Exchange yang dapat diakses dari Internet masih rentan terhadap kerentanan lama, menurut para peneliti.
Dengan menyematkan kode berbahaya ke dalam halaman autentikasi yang sah, penyerang dapat tetap tidak terdeteksi untuk waktu yang lama sambil menangkap kredensial pengguna dalam bentuk teks biasa (plaintext).
Serangan ini menggarisbawahi pentingnya manajemen patch dan konfigurasi keamanan yang ketat, terutama untuk sistem yang terekspos ke internet.
Kerentanan yang dieksploitasi dalam serangan ini, seperti ProxyLogon dan ProxyShell, telah diketahui dan patch-nya telah tersedia selama beberapa tahun. Kegagalan dalam menerapkan patch ini secara tepat waktu menciptakan jendela peluang yang besar bagi penyerang.
|
Baca juga: Diblokir Microsoft Qbot Pakai Trik Baru |
Mitigasi risiko serangan serupa
Dalam upaya menanggulangi ancaman serupa di masa depan, ada beberapa saran keamanan yang dapat dimplementasikan oleh organisasi:
- Menerapkan Patch Keamanan Segera: Pastikan semua server Microsoft Exchange dan sistem lainnya selalu diperbarui dengan patch keamanan terbaru. Prioritaskan patch untuk kerentanan yang diketahui dan yang paling sering dieksploitasi.
- Melakukan Audit Keamanan Berkala: Lakukan audit keamanan dan pemindaian kerentanan secara teratur pada server yang terekspos publik untuk mengidentifikasi dan memperbaiki celah keamanan.
- Menerapkan Autentikasi Multifaktor (MFA): Aktifkan MFA untuk semua akun pengguna, terutama untuk akses ke layanan yang menghadap ke publik. MFA menambahkan lapisan keamanan ekstra yang membuat pencurian kredensial menjadi kurang efektif.
- Memantau Log dan Lalu Lintas Jaringan: Terapkan sistem pemantauan keamanan yang kuat (seperti SIEM) untuk mendeteksi aktivitas aneh pada log server dan lalu lintas jaringan, termasuk pola yang mungkin menunjukkan eksfiltrasi data melalui metode tidak umum seperti tunnel DNS.
- Meningkatkan Kesadaran Keamanan Karyawan: Edukasi karyawan tentang risiko phishing dan teknik rekayasa sosial yang dapat digunakan untuk mendapatkan kredensial.
- Menggunakan Solusi Keamanan Lanjutan: Pertimbangkan untuk menerapkan Web Application Firewall (WAF) dan Intrusion Prevention System (IPS) di depan server Exchange untuk mendeteksi dan memblokir serangan pada tingkat aplikasi.
Serangan keylogger pada halaman login Microsoft Exchange adalah pengingat keras bahwa kerentanan lama masih menjadi pintu masuk favorit bagi penyerang jika tidak ditangani dengan serius. Organisasi harus proaktif dalam mempertahankan infrastruktur mereka dari ancaman yang terus berkembang.
Sumber berita:
