- Serangan siber canggih menggunakan file .LNK dan VSCode.
- Pelaku ancaman memanfaatkan software sah untuk melakukan serangan.
- Keamanan siber perlu ditingkatkan dengan pendekatan holistik.
pibitek.biz -Peneliti dari Cyble Research and Intelligence Lab (CRIL) mengungkap kampanye serangan siber canggih yang dimulai dengan file .LNK mencurigakan dan memanfaatkan Visual Studio Code (VSCode) untuk menciptakan persistensi dan akses jarak jauh. Serangan ini bahkan menginstal antarmuka baris perintah (CLI) VSCode jika VSCode tidak ditemukan di perangkat korban. Metode serangan ini mencerminkan taktik yang sebelumnya terlihat dalam kampanye yang dilakukan oleh kelompok APT Stately Taurus asal China. Para peneliti juga menemukan elemen bahasa China dalam kampanye ini, memperkuat dugaan keterlibatan kelompok tersebut.
2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan 2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan
3 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru 3 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru
File .LNK yang berfungsi sebagai vektor serangan awal berpotensi dikirim melalui email spam. File .LNK ini kemudian mengunduh paket distribusi Python yang digunakan untuk menjalankan skrip Python terobfuscasi yang diambil dari situs paste. Saat Cyble menerbitkan penelitiannya, skrip tersebut belum terdeteksi oleh VirusTotal, yang membuatnya sulit diidentifikasi menggunakan alat keamanan standar. Skrip Python ini membangun persistensi dengan membuat tugas terjadwal dengan hak akses sistem dan prioritas tinggi.
Skrip ini memeriksa keberadaan VSCode pada perangkat korban, dan mengunduh CLI VSCode yang berdiri sendiri jika tidak ditemukan. Skrip ini kemudian membuat terowongan jarak jauh menggunakan VSCode, mengirimkan kode aktivasi kepada pelaku ancaman yang memfasilitasi akses jarak jauh yang tidak sah ke perangkat. Peneliti Cyble menggambarkan rantai infeksi dalam grafik di bawah ini: File .LNK menyamar sebagai program instalasi dan menampilkan pesan "Instalasi berhasil" palsu dalam bahasa China. Namun, di latar belakang, file .LNK secara diam-diam mengunduh komponen tambahan menggunakan utilitas curl, termasuk paket distribusi Python bernama "python-3.12.5-embed-amd64.zip". File .LNK kemudian membuat direktori di %LOCALAPPDATA%MicrosoftPython dan mengekstrak isi arsip zip menggunakan tar.exe. File .LNK kemudian mengunduh skrip berbahaya dari situs paste.ee dan menyimpannya sebagai "update.py" di lokasi yang sama, di mana skrip ini dijalankan menggunakan "pythonw.exe" tanpa menampilkan jendela konsol.
Tugas terjadwal bernama "MicrosoftHealthcareMonitorNode" memastikan persistensi dan dirancang untuk menjalankan skrip "update. py" menggunakan "pythonw.exe", yang berjalan tanpa menampilkan jendela konsol sehingga aktivitas berbahaya dapat disembunyikan. Tugas ini dijadwalkan untuk berjalan setiap empat jam untuk pengguna non-admin mulai pukul 08:00 pagi. Untuk pengguna admin, tugas tersebut dikonfigurasi untuk dipicu saat login, berjalan dengan hak akses SYSTEM yang ditingkatkan dan prioritas tinggi, yang memberikannya kendali lebih besar dan kemungkinan lebih kecil untuk diinterupsi.
Skrip kemudian memeriksa apakah "code.exe" sudah berjalan di latar belakang dengan memeriksa keluaran perintah "tasklist". Jika tidak, skrip ini menjalankan "code.exe" untuk keluar dari sesi jarak jauh aktif. Langkah ini sangat penting bagi pelaku ancaman, karena memungkinkan mereka untuk membuat terowongan jarak jauh baru untuk interaksi selanjutnya dengan sistem korban. Setelah komunikasi terjalin, langkah-langkah eksfiltrasi dapat dimulai. Peneliti Cyble menyatakan bahwa kampanye ini menunjukkan peningkatan kecanggihan para pelaku ancaman dalam memanfaatkan alat yang sah seperti VSCode untuk mendapatkan akses tidak sah ke sistem korban.
Dengan menggunakan file .LNK yang tampak tidak berbahaya dan skrip Python terobfuscasi, pelaku ancaman dapat secara efektif menghindari deteksi. Rekomendasi Cyble meliputi:
* Meningkatkan kesadaran pengguna tentang email spam dan lampiran berbahaya.
* Menggunakan alat keamanan yang dapat mendeteksi dan memblokir file .LNK berbahaya.
* Menginstal dan memperbarui software antivirus dan antimalware secara berkala.
* Melakukan pencadangan data secara teratur untuk meminimalkan kerugian jika terjadi serangan.
Blog Cyble juga membahas teknik MITRE ATT&CK, indikator kompromi (IoC), dan banyak lagi. Serangan ini merupakan contoh nyata betapa pentingnya keamanan siber dalam dunia digital saat ini. Para pelaku ancaman terus mengembangkan taktik mereka, dan penting bagi pengguna dan organisasi untuk tetap waspada dan proaktif dalam melindungi diri dari ancaman. Penting untuk dicatat bahwa kampanye ini tidak hanya menunjukkan kecanggihan pelaku ancaman dalam memanfaatkan alat yang sah, tetapi juga menunjukkan betapa sulitnya membedakan antara ancaman yang sah dan berbahaya.
Software seperti VSCode, yang sering digunakan untuk pengembangan software, dapat dengan mudah digunakan oleh pelaku ancaman untuk melakukan serangan. Ini berarti bahwa semua pengguna, bahkan yang memiliki pengetahuan teknis, harus waspada terhadap ancaman yang mungkin bersembunyi di balik aplikasi yang tampak tidak berbahaya. VSCode memang merupakan alat yang ampuh untuk pengembang, namun potensi penyalahgunaannya oleh pelaku ancaman patut dipertimbangkan secara serius. Keberhasilan para pelaku ancaman dalam memanfaatkan VSCode sebagai alat serangan menyoroti perlunya pendekatan yang lebih holistik terhadap keamanan siber.
Organisasi perlu mengadopsi strategi keamanan yang komprehensif, yang mencakup semua software yang digunakan oleh karyawan, dan tidak hanya berfokus pada software yang secara tradisional dianggap sebagai ancaman. Peningkatan keamanan siber harus menjadi prioritas utama bagi semua organisasi, terlepas dari ukuran dan bidang industri mereka. Serangan ini adalah bukti nyata betapa tidak berdayanya kita dalam menghadapi kejahatan siber. Kemampuan para pelaku ancaman untuk memanfaatkan software yang sah dan memutarbalikkan tujuannya untuk kepentingan mereka sendiri menunjukkan betapa canggih dan licinnya mereka.
Mereka seperti bayangan yang tak terlihat, bergerak di balik layar dengan cara yang tak terduga, dan meninggalkan jejak kerusakan yang luas. Keamanan siber saat ini seperti permainan kucing dan tikus. Para pelaku ancaman selalu selangkah lebih maju. Mereka selalu mengembangkan taktik baru, memanfaatkan kelemahan sistem keamanan, dan mengeksploitasi kerentanan manusia. Kita seperti berada dalam perang yang tak berujung, di mana kita selalu berada dalam keadaan bertahan. Solusi yang ditawarkan oleh para ahli keamanan siber sering kali tidak efektif atau terlalu rumit untuk diterapkan.
Banyak organisasi kekurangan sumber daya dan pengetahuan yang diperlukan untuk melindungi diri mereka dari serangan siber. Hasilnya, kita terjebak dalam lingkaran setan, di mana kita selalu berada dalam keadaan rentan terhadap serangan. Penggunaan VSCode dalam serangan ini hanya contoh kecil dari kecanggihan yang ditunjukkan oleh para pelaku ancaman. Mereka tidak lagi hanya mengandalkan malware dan phishing. Mereka kini telah melangkah lebih jauh, memanfaatkan software yang sah untuk melakukan serangan yang sulit dideteksi dan diatasi.
Situasi ini sangat mengkhawatirkan dan menunjukkan bahwa kita perlu mengadopsi pendekatan yang lebih proaktif terhadap keamanan siber. Kita harus bekerja sama untuk mengembangkan solusi yang lebih efektif dan berkelanjutan untuk melawan para pelaku ancaman. Serangan ini merupakan peringatan bagi kita semua untuk meningkatkan kesadaran akan keamanan siber. Perusahaan, organisasi, dan individu harus bekerja sama untuk menghadapi ancaman siber yang terus berkembang. Perlu ada investasi yang lebih besar dalam penelitian dan pengembangan keamanan siber, serta peningkatan pendidikan dan pelatihan bagi masyarakat umum. Hanya dengan upaya bersama, kita dapat berharap untuk melawan kejahatan siber dan membangun dunia digital yang lebih aman.
