- Kelompok peretas OilRig memanfaatkan celah keamanan di Windows.
- Serangan ini menargetkan UEA dan kawasan Teluk secara luas.
- Upaya perbaikan celah keamanan harus menjadi prioritas organisasi.
pibitek.biz -Kelompok peretas yang dikenal sebagai OilRig telah memanfaatkan celah keamanan di sistem operasi Windows. Mereka melakukan serangan siber yang menargetkan Uni Emirat Arab dan kawasan Teluk. Peneliti dari Trend Micro mengumumkan bahwa kelompok ini menggunakan berbagai taktik canggih. Salah satu taktik tersebut adalah menyebarkan backdoor yang memanfaatkan server Microsoft Exchange untuk mencuri kredensial. Mereka juga mengeksploitasi kerentanan yang dikenal sebagai CVE-2024-30088 untuk meningkatkan hak akses.
2 – Ransomware BianLian Serang Rumah Sakit Anak Boston 2 – Ransomware BianLian Serang Rumah Sakit Anak Boston
3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan 3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan
Celah keamanan CVE-2024-30088 telah diperbaiki oleh Microsoft pada bulan Juni 2024. Kerentanan ini memungkinkan penyerang untuk mendapatkan hak akses tingkat sistem. Penyerang dapat memanfaatkan kondisi balapan untuk mengeksploitasi celah ini. Mereka memulai serangan dengan mengakses server web yang rentan. Setelah itu, mereka menanamkan web shell dan menggunakan alat manajemen jarak jauh ngrok untuk mempertahankan akses. Setelah mendapatkan akses, mereka menggunakan kerentanan untuk menyebarkan backdoor bernama STEALHOOK.
Backdoor ini berfungsi untuk mengirimkan data yang dicuri melalui server Exchange. Data tersebut dikirim dalam bentuk lampiran ke alamat email yang dikuasai oleh penyerang. Salah satu teknik yang digunakan oleh OilRig adalah memanfaatkan hak akses yang ditingkatkan. Mereka menanamkan file DLL bernama psgfilter.dll untuk mengekstrak kredensial sensitif dari pengguna domain. Kelompok ini sangat berhati-hati dalam menangani kata sandi dalam bentuk teks biasa. Mereka menggunakan fungsi ekspor filter kata sandi untuk mendapatkan akses lebih lanjut.
Penggunaan psgfilter.dll sebelumnya juga terdeteksi dalam kampanye OilRig pada bulan Desember 2022. Aktivitas terbaru menunjukkan bahwa Earth Simnavaz berfokus pada penyalahgunaan kerentanan infrastruktur penting. Mereka berusaha untuk membangun pijakan yang kuat di entitas yang telah disusupi. Serangan semacam ini sangat merugikan dan menciptakan ketidakpastian. Keberadaan kelompok seperti OilRig menunjukkan betapa rentannya infrastruktur siber di kawasan yang sensitif secara geopolitik. Tindakan mereka tidak hanya merugikan individu, tetapi juga dapat mengancam stabilitas negara.
Keberanian mereka dalam mengeksploitasi celah keamanan menunjukkan kurangnya rasa tanggung jawab. Hal ini menciptakan kekhawatiran yang mendalam tentang keamanan siber di masa depan. Serangan siber yang dilakukan oleh OilRig menunjukkan betapa pentingnya keamanan informasi. Kerentanan yang ada harus segera ditangani untuk mencegah penyalahgunaan lebih lanjut. Upaya untuk memperbaiki celah keamanan harus menjadi prioritas bagi semua organisasi. Kesadaran akan ancaman siber harus ditingkatkan di semua level.
