(Source: Freepik)
Belum lama ini, Global Research and Analysis Team (GReAT) Kaspersky menemukan backdoor baru bernama GhostContainer. Perangkat lunak jahat yang sangat disesuaikan dan sebelumnya tidak dikenal ini ditemukan selama kasus respons insiden , yang menargetkan infrastruktur exchange di lingkungan pemerintahan. Malware ini kemungkinan adalah bagian dari kampanye ancaman berkelanjutan tingkat lanjut yang menargetkan entitas bernilai tinggi di Asia, termasuk perusahaan teknologi tinggi.
Backdoor Malware Menyerang Server Dan Aktifitas Jahat
File yang dideteksi oleh Kaspersky sebagai App_Web_Container_1.dll ternyata adalah backdoor multifungsi yang canggih. Malware ini memanfaatkan beberapa proyek sumber terbuka dan dapat diperluas secara dinamis dengan fungsi apa pun melalui unduhan modul tambahan. Setelah dimuat, backdoor ini memberikan kendali penuh kepada penyerang atas server exchange, memungkinkan berbagai aktivitas jahat. Untuk menghindari deteksi oleh solusi keamanan, backdoor ini menggunakan beberapa teknik penghindaran dan menampilkan dirinya sebagai komponen server yang sah agar menyatu dengan operasi normal.
Selain itu, GhostContainer dapat bertindak sebagai proxy atau terowongan, berpotensi mengekspos jaringan internal ke ancaman eksternal atau memfasilitasi exfiltrasi data sensitif dari sistem internal. Oleh karena itu, spionase siber diduga menjadi tujuan utama kampanye ini.
“Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka yang terkait dengan menyusup ke lingkungan IIS dan Exchange, serta menciptakan dan meningkatkan alat spionase canggih berdasarkan kode yang tersedia untuk umum. Kami akan terus memantau aktivitas mereka, bersama dengan cakupan dan skala serangan ini, untuk mendapatkan pemahaman yang lebih baik tentang lanskap ancaman,” kata Sergey Lozhkin, Kepala GReAT, APAC & META.
Pada saat ini, tidak mungkin untuk mengaitkan GhostContainer dengan kelompok aktor ancaman yang dikenal, karena para penyerang belum mengekspos infrastruktur apa pun. Malware ini menggabungkan kode dari beberapa proyek sumber terbuka yang dapat diakses publik, yang dapat dimanfaatkan oleh peretas atau kelompok di seluruh dunia. Penting untuk dicatat bahwa hingga akhir tahun 2024, total 14.000 paket berbahaya teridentifikasi dalam proyek sumber terbuka peningkatan 48% dibandingkan akhir tahun 2023.
Langkah Agar Terhindar Malware
Untuk menghindari menjadi korban serangan yang ditargetkan oleh aktor ancaman yang dikenal atau tidak dikenal, peneliti Kaspersky merekomendasikan penerapan beberapa langkah. Tim SOC dapat diberikan akses ke informasi ancaman (TI) terbaru, seperti Kaspersky Threat Intelligence. Selain itu, kemampuan tim keamanan siber dapat ditingkatkan untuk menangani ancaman yang ditargetkan terbaru dengan pelatihan daring Kaspersky yang dikembangkan oleh ahli GReAT.
Untuk deteksi tingkat endpoint, investigasi, dan remediasi insiden yang tepat waktu, organisasi dapat mengimplementasikan solusi EDR seperti Kaspersky Endpoint Detection and Response. Penting juga untuk mengadopsi perlindungan endpoint yang esensial serta mengimplementasikan solusi keamanan tingkat perusahaan yang mendeteksi ancaman lanjutan di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform. Terakhir, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya, organisasi dapat memperkenalkan pelatihan kesadaran keamanan dan mengajarkan keterampilan praktis kepada tim, misalnya, melalui Kaspersky Automated Security Awareness Platform.
