KabarTifa- Tim peneliti keamanan siber Kaspersky baru-baru ini mengungkap ancaman baru yang mengkhawatirkan, sebuah backdoor canggih bernama GhostContainer. Malware ini memanfaatkan celah keamanan pada perangkat lunak sumber terbuka dan dirancang untuk menyerang infrastruktur Microsoft Exchange, terutama di lingkungan pemerintahan dan perusahaan teknologi tinggi di wilayah Asia.
GhostContainer, yang terdeteksi sebagai berkas "App_Web_Container_1.dll" oleh Kaspersky, merupakan backdoor multifungsi yang sangat canggih. Ia menggunakan berbagai proyek sumber terbuka dan dapat diperluas dengan modul tambahan yang diunduh secara dinamis. Kemampuan ini memberikan fleksibilitas bagi penyerang untuk menyesuaikan fungsionalitas backdoor sesuai kebutuhan mereka.
Setelah berhasil masuk ke sistem, GhostContainer memberikan kendali penuh kepada penyerang atas server Exchange yang terinfeksi. Hal ini memungkinkan mereka untuk melakukan berbagai aktivitas berbahaya, termasuk memantau komunikasi, mencuri data sensitif, dan bahkan menggunakan server yang terinfeksi sebagai proksi untuk menyerang sistem lain di jaringan internal.
Salah satu fitur yang paling mengkhawatirkan dari GhostContainer adalah kemampuannya untuk menghindari deteksi oleh solusi keamanan. Malware ini menyamar sebagai komponen server yang sah, sehingga sulit untuk dideteksi dan dihilangkan. Selain itu, GhostContainer juga dapat bertindak sebagai proksi atau tunnel, yang berpotensi mengekspos jaringan internal terhadap ancaman eksternal atau memfasilitasi eksfiltrasi data sensitif dari sistem internal. Dugaan sementara, spionase siber menjadi tujuan utama kampanye ini.
Sergey Lozhkin, Kepala GReAT, APAC & META di Kaspersky, mengatakan, "Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka terkait infiltrasi IIS dan lingkungan Exchange, serta menciptakan dan meningkatkan alat spionase canggih berdasarkan kode yang tersedia untuk umum. Kami akan terus memantau aktivitas mereka, beserta cakupan dan skala serangan ini, untuk mendapatkan pemahaman lebih baik tentang lanskap ancaman tersebut."
Saat ini, para peneliti belum dapat mengaitkan GhostContainer dengan kelompok peretas tertentu. Malware ini menggunakan kode dari berbagai proyek sumber terbuka yang tersedia secara publik, sehingga sulit untuk menentukan siapa dalang di balik serangan ini. Namun, temuan ini menyoroti meningkatnya risiko yang terkait dengan penggunaan perangkat lunak sumber terbuka, terutama jika tidak dikelola dengan benar. Tercatat, pada akhir tahun 2024, total 14.000 paket berbahaya telah diidentifikasi dalam proyek sumber terbuka – meningkat 48% dibandingkan akhir tahun 2023 – yang menyoroti meningkatnya ancaman di area ini.
Untuk melindungi diri dari serangan seperti GhostContainer, Kaspersky merekomendasikan beberapa langkah pencegahan, termasuk:
- Memberikan tim SOC akses ke intelijen ancaman terbaru dari Kaspersky Threat Intelligence.
- Meningkatkan keterampilan tim keamanan siber dengan pelatihan daring Kaspersky yang dikembangkan oleh para ahli GReAT.
- Menerapkan solusi EDR seperti Kaspersky Endpoint Detection and Response untuk deteksi, investigasi, dan remediasi insiden di tingkat titik akhir.
- Menerapkan solusi keamanan tingkat perusahaan seperti Kaspersky Anti Targeted Attack Platform untuk mendeteksi ancaman tingkat lanjut di level jaringan pada tahap awal.
- Melakukan pelatihan kesadaran keamanan dan mengajarkan keterampilan praktis kepada tim Anda melalui Kaspersky Automated Security Awareness Platform.
Dengan menerapkan langkah-langkah ini, organisasi dapat secara signifikan mengurangi risiko menjadi korban serangan yang ditargetkan oleh aktor ancaman yang dikenal maupun tidak dikenal. Informasi lebih lanjut tentang GhostContainer dan ancaman siber lainnya dapat ditemukan di situs web kabartifa.id.
