- Serangan siber canggih dilakukan oleh peretas Mustang Panda menggunakan VS Code.
- Peretas canggih memanfaatkan Code VS untuk mengeksploitasi sistem siber.
- Serangan siber ini membutuhkan peningkatan kesadaran pengguna terhadap taktik canggih peretas.
pibitek.biz -Para ahli keamanan siber telah menemukan sebuah serangan siber canggih yang dilakukan oleh kelompok peretas yang dikenal sebagai Mustang Panda, yang berasal dari China. Serangan ini merupakan kampanye spionase siber yang sedang berlangsung dan dirancang untuk mendapatkan akses jarak jauh yang persisten ke komputer target. Mustang Panda terkenal dengan taktik licik dan kemampuannya untuk menyamar sebagai entitas yang sah. Para peretas ini memanfaatkan program Visual Studio Code (VS Code) yang populer dan sah, untuk menyebarkan malware berjenis Python yang memberikan mereka kendali atas komputer yang terinfeksi.
2 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi 2 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi
3 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan 3 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan
Para peneliti dari Cyble Research and Intelligence Lab (CRIL) adalah yang pertama menemukan kampanye berbahaya ini. Mereka meneliti pola serangan dan mendapati bahwa serangan ini dimulai dengan email jahat yang berisi file .lnk yang disamarkan sebagai file instalasi yang sah. File .lnk ini dirancang untuk mengelabui pengguna agar mengkliknya, sehingga secara diam-diam mengunduh paket distribusi Python. Paket Python ini, yang tampaknya merupakan program yang sah, sebenarnya menyimpan skrip Python jahat yang merupakan jantung serangan ini.
Skrip Python jahat yang tersembunyi dalam paket distribusi Python dirancang untuk mengeksploitasi VS Code, alat pengembangan software yang populer yang digunakan oleh banyak pengembang dan profesional teknologi. Ketika skrip Python jahat dijalankan, pertama-tama ia memeriksa apakah VS Code sudah terpasang pada sistem target. Jika VS Code tidak ditemukan, skrip tersebut akan mengunduh secara diam-diam antarmuka baris perintah (CLI) VS Code dari sumber yang sah milik Microsoft. Ini menunjukkan bahwa para peretas sangat ahli dalam memanfaatkan program yang sah untuk tujuan jahat, memanipulasi kepercayaan pengguna, dan menghindari deteksi oleh software keamanan.
Setelah berhasil mengunduh dan menginstal CLI VS Code, skrip jahat akan menyiapkan tugas yang akan memastikan bahwa operasi jahatnya dapat terus berjalan bahkan setelah sistem dimatikan dan dihidupkan kembali. Tugas ini penting untuk tujuan persistensi, karena memungkinkan para peretas untuk mempertahankan akses ke sistem yang terinfeksi dalam jangka waktu lama tanpa perlu menjalankan kembali skrip jahat secara manual. Salah satu taktik kunci yang digunakan dalam serangan ini adalah penciptaan terowongan jarak jauh yang menggunakan VS Code Remote-Tunnels, ekstensi VS Code yang sah yang dirancang untuk terhubung ke komputer jarak jauh dengan aman melalui terowongan.
Ekstensi ini biasanya digunakan oleh pengembang untuk mengakses proyek mereka dari komputer jarak jauh atau untuk kolaborasi jarak jauh. Namun, Mustang Panda telah memanfaatkan ekstensi ini untuk tujuan jahat, menggunakannya untuk membuat jalan rahasia ke komputer target. Setelah terowongan jarak jauh dibuat, para peretas akan menghubungkannya dengan akun GitHub yang sah untuk otentikasi. Ini adalah strategi yang cerdas dan berbahaya, karena menggunakan layanan yang sah dan tepercaya seperti GitHub untuk menutupi jejak mereka dan menghindari deteksi.
Para peretas kemudian akan mengambil kode aktivasi alfanumerik dari komputer yang terinfeksi, yang merupakan kunci untuk mengakses komputer secara jarak jauh. Kode aktivasi alfanumerik yang dicuri kemudian digunakan untuk membuka akses ke komputer yang terinfeksi. Para peretas dapat masuk ke komputer yang terinfeksi melalui akun GitHub mereka dan menggunakan kode aktivasi untuk mengakses sistem secara penuh. Mereka kemudian dapat menjelajahi file-file korban, menjalankan perintah melalui terminal, menginstal malware tambahan, mengambil informasi sensitif, dan memanipulasi pengaturan sistem.
Serangan ini sangat berbahaya karena memungkinkan para peretas untuk mengendalikan sepenuhnya komputer yang terinfeksi. Mereka dapat menginstal malware tambahan tanpa sepengetahuan korban, mengakses informasi sensitif, mencuri data penting, dan bahkan memanipulasi pengaturan sistem untuk tujuan jahat. Para peneliti Cyble menemukan bahwa skrip Python jahat yang digunakan dalam serangan ini tidak terdeteksi oleh VirusTotal, platform yang digunakan untuk mendeteksi malware. Ini membuat para peretas lebih sulit dideteksi dan dihentikan, karena skrip jahat tidak diblokir oleh software keamanan tradisional.
Untuk mengatasi serangan canggih seperti yang dilakukan Mustang Panda, Cyble menyarankan agar organisasi menggunakan solusi perlindungan titik akhir yang canggih. Solusi ini harus menyertakan analisis perilaku dan kemampuan machine learning untuk mendeteksi dan memblokir aktivitas mencurigakan, bahkan yang melibatkan aplikasi yang sah seperti VS Code. Sebagai langkah pencegahan tambahan, Cyble juga merekomendasikan agar organisasi secara teratur memeriksa tugas terjadwal pada semua sistem mereka.
Ini akan membantu dalam mengidentifikasi entri yang tidak sah atau tidak biasa yang dapat menunjukkan mekanisme persistensi yang didirikan oleh peretas. Penting untuk meningkatkan kesadaran pengguna tentang risiko membuka file atau tautan yang mencurigakan, terutama yang terkait dengan file .lnk dan sumber yang tidak dikenal. Melatih pengguna tentang praktik keamanan siber yang baik dan cara mengenali serangan phishing sangat penting. Selain itu, organisasi harus membatasi izin pengguna untuk menginstal software, terutama untuk alat yang dapat dieksploitasi seperti VS Code.
Menerapkan daftar putih aplikasi juga merupakan tindakan pencegahan yang penting, karena membantu mengontrol aplikasi mana yang dapat diinstal dan dijalankan pada sistem. Mustang Panda telah menunjukkan bahwa mereka adalah aktor ancaman yang sangat canggih dan terampil dalam memanfaatkan alat yang sah untuk tujuan jahat. Mereka telah menunjukkan kemampuan mereka untuk menargetkan organisasi dan individu di seluruh dunia, mencuri informasi sensitif dan menyebabkan kerusakan yang signifikan. Serangan ini merupakan pengingat yang kuat bahwa ancaman siber terus berkembang dan menjadi semakin canggih.
Organisasi dan individu harus waspada terhadap ancaman siber dan mengambil langkah-langkah untuk melindungi sistem dan data mereka. Mereka harus menggunakan software keamanan yang kuat, meningkatkan kesadaran pengguna, dan secara proaktif beradaptasi dengan taktik baru yang digunakan oleh peretas. Serangan canggih seperti yang dilakukan Mustang Panda menekankan pentingnya keamanan siber yang komprehensif dan berlapis. Organisasi harus berinvestasi dalam solusi keamanan siber yang canggih dan menerapkan praktik keamanan terbaik yang secara proaktif melindungi sistem mereka dari ancaman yang berkembang.
Meskipun upaya dilakukan untuk melindungi diri dari serangan semacam itu, Mustang Panda telah membuktikan bahwa mereka adalah lawan yang tangguh. Mereka menggunakan taktik canggih dan terus-menerus berevolusi, membuat mereka menjadi ancaman yang sulit dihentikan. Keberhasilan mereka dalam mengeksploitasi VS Code menunjukkan bahwa tidak ada program atau aplikasi yang benar-benar aman dari serangan jahat. Bahkan alat yang sah dan tepercaya dapat dimanfaatkan oleh peretas yang berpengalaman untuk melakukan serangan berbahaya.
Serangan ini juga menggarisbawahi pentingnya kesadaran pengguna. Pengguna harus selalu berhati-hati dalam membuka file atau tautan yang mencurigakan, dan mereka harus selalu memperbarui software dan sistem operasi mereka. Dengan mengambil langkah-langkah pencegahan yang diperlukan, pengguna dan organisasi dapat mengurangi risiko menjadi korban serangan siber yang canggih. Mustang Panda hanyalah salah satu dari banyak kelompok peretas yang menggunakan taktik canggih untuk menyerang sistem dan mencuri informasi sensitif.
Ancaman siber terus berkembang, dan para peretas terus menemukan cara baru untuk menyerang sistem dan mengeksploitasi kerentanan. Dengan mengingat hal ini, penting bagi organisasi dan individu untuk tetap waspada terhadap ancaman siber dan berinvestasi dalam solusi keamanan yang komprehensif. Mereka harus terus meningkatkan kesadaran pengguna dan proaktif dalam menghadapi ancaman yang berkembang. Hanya dengan bekerja sama, kita dapat melindungi diri dari serangan siber yang canggih dan berbahaya.
Serangan Mustang Panda ini, dengan menggunakan VS Code sebagai kendaraan, telah menunjukkan bahwa bahkan alat yang sah dan tepercaya dapat menjadi sasaran peretas yang berpengalaman. Taktik ini harus menjadi perhatian besar bagi semua pengguna VS Code dan organisasi yang bergantung pada alat ini untuk pengembangan software. Untuk melindungi diri dari serangan semacam itu, sangat penting bagi pengguna dan organisasi untuk mengadopsi praktik keamanan terbaik. Ini termasuk selalu memperbarui VS Code dan ekstensi yang terkait, berhati-hati dalam mengunduh ekstensi dari sumber yang tidak dikenal, dan secara teratur memeriksa pengaturan VS Code untuk aktivitas yang mencurigakan.
Kejahatan siber adalah masalah global yang terus berkembang. Para peretas menjadi semakin canggih dan kreatif dalam metode mereka, yang membuat sulit bagi organisasi untuk melindungi diri dari serangan. Serangan ini merupakan contoh yang sangat jelas tentang bagaimana peretas dapat memanfaatkan alat dan layanan yang sah untuk tujuan jahat. Ini juga menunjukkan bahwa tidak ada satu pun alat atau solusi keamanan yang dapat melindungi sepenuhnya dari semua ancaman siber. Untuk melindungi diri dari serangan siber yang canggih, penting bagi organisasi untuk mengadopsi pendekatan keamanan yang komprehensif yang mencakup berbagai langkah-langkah pencegahan.
Ini termasuk menggunakan software keamanan yang kuat, meningkatkan kesadaran pengguna, menerapkan praktik keamanan terbaik, dan secara proaktif beradaptasi dengan ancaman yang berkembang. Serangan ini menyoroti perlunya kolaborasi yang kuat antara peneliti keamanan, organisasi pemerintah, dan perusahaan teknologi untuk mengatasi ancaman siber yang berkembang. Penting bagi semua pemangku kepentingan untuk berbagi informasi dan berkolaborasi dalam mengembangkan solusi yang dapat melindungi sistem dan data dari serangan yang semakin canggih.