Image credit: Freepix
Operasi Senyap di Asia Bawa Malapetaka – Sebuah kampanye serangan siber berskala besar yang telah berlangsung selama bertahun-tahun kini teridentifikasi.
Operasi senyap ini diketahui menargetkan organisasi-organisasi bernilai tinggi di kawasan Asia Selatan, Asia Timur, dan Asia Tenggara.
Serangan ini menyasar sektor-sektor vital seperti penerbangan, energi, pemerintahan, penegakan hukum, farmasi, teknologi, hingga telekomunikasi.
Peneliti telah mengatribusikan aktivitas ini kepada kelompok ancaman yang sebelumnya belum terdokumentasi, yang dijuluki CL-UNK-1068.
Meskipun motivasi pastinya masih dalam penelitian, para ahli menilai dengan tingkat keyakinan moderat hingga tinggi bahwa tujuan utama kampanye ini adalah spionase siber.
|
Baca juga: SIM Farm Industri Pencurian Kredensial |
Perpaduan Alat Kustom dan Open-Source
Kelompok ini menunjukkan fleksibilitas yang luar biasa dengan beroperasi di lingkungan Windows maupun Linux.
Mereka menggunakan kombinasi perangkat yang cerdas untuk menjaga keberadaan mereka di jaringan target tanpa terdeteksi:
- Web Shell Populer: Mereka menggunakan alat seperti Godzilla dan ANTSWORD untuk mendapatkan kendali atas server web yang berhasil dieksploitasi.
- Backdoor Linux: Penggunaan Xnote, sebuah backdoor Linux yang telah terdeteksi sejak 2015, memungkinkan mereka mempertahankan akses jarak jauh pada sistem berbasis Linux.
- LOLBINs (Living-off-the-Land Binaries): Penyerang memanfaatkan utilitas sah yang sudah ada di dalam sistem operasi untuk menjalankan perintah berbahaya, sehingga sulit dideteksi oleh perangkat lunak keamanan tradisional.
- Alat Kustom: Peneliti menemukan penggunaan pemindai kustom berbasis bahasa pemrograman Go yang disebut ScanPortPlus serta alat pengumpul informasi berbasis .NET bernama SuperDump.
Metode Pencurian Data yang Unik dan Cerdik
Salah satu aspek yang paling menarik dari kampanye CL-UNK-1068 adalah metode yang mereka gunakan untuk mengambil data tanpa harus mengunggah file ke luar jaringan (eksfiltrasi). Berikut adalah tahapan yang mereka lakukan:
Pengumpulan File Strategis
Penyerang mencari file spesifik seperti konfigurasi web (web.config), riwayat peramban, bookmark, serta file basis data (.bak) untuk mencuri kredensial atau menemukan celah keamanan baru.
Teknik Eksfiltrasi Tanpa File
- Penyerang mengarsipkan file yang dicuri menggunakan WinRAR.
- Arsip tersebut kemudian diubah menjadi format teks Base64 menggunakan perintah sistem certutil.
- Isi teks Base64 tersebut kemudian “dicetak” ke layar melalui web shell.
- Penyerang cukup menyalin teks tersebut dari layar mereka sendiri tanpa perlu melakukan transfer file langsung yang berisiko memicu peringatan keamanan.
|
Baca juga: Serangan Kredensial Disukai Peretas |
Pencurian Kredensial Skala Industri
Kelompok ini sangat fokus pada pengumpulan identitas pengguna untuk memperluas akses mereka di dalam jaringan. Beberapa alat yang digunakan meliputi:
- Mimikatz: Digunakan untuk mengambil kata sandi langsung dari memori sistem.
- LsaRecorder: Alat kustom untuk merekam kata sandi saat pengguna melakukan login ke sistem Windows.
- Volatility Framework & DumpItForLinux: Digunakan untuk mengekstrak hash kata sandi dari memori pada sistem Linux.
- SQL Studio Password Export: Alat khusus untuk mengambil informasi koneksi dari Microsoft SQL Server Management Studio.
Menghadapi Ancaman Persisten
Peneliti menyarankan beberapa langkah mitigasi untuk melindungi organisasi dari kelompok seperti CL-UNK-1068:
- Awasi aktivitas yang tidak lazim dari perintah sistem seperti certutil.exe atau findstr.exe, terutama jika digunakan untuk mengolah file dalam jumlah besar.
- Karena web shell adalah pintu masuk utama, pastikan server web selalu diperbarui dan lakukan pemindaian rutin terhadap integritas file di direktori publik (seperti inetpub).
- Mengingat fokus utama kelompok ini adalah pencurian kredensial, penggunaan autentikasi multifaktor yang tahan terhadap phishing sangatlah krusial.
CL-UNK-1068 membuktikan bahwa efektivitas serangan siber tidak selalu bergantung pada alat yang mahal, tetapi pada kecerdikan dalam memanfaatkan alat yang sudah ada.
Keberhasilan mereka dalam menyusup ke organisasi penting di Asia menjadi pengingat bahwa pertahanan siber harus selalu selangkah lebih maju dalam memantau perilaku aneh di dalam jaringan sendiri.
Sumber berita:
