Teknogav.com – Serangkaian serangan yang mengambil informasi dari layanan resmi seperti GitHub, Microsoft Learn Challenge, Quora dan jejaring sosial berhasil dideteksi Kaspersky. Pada semester II tahun 2024, serangan tersebut terdeteksi di berbagai organisasi di Tiongkok, Jepang, Malaysia, Peru dan Rusia. Serangan tersebut berlanjut sampai tahun 2025 dengan sebagian besar korban merupakan perusahaan besar sampai menengah.

Serangan yang kompleks dilancarkan untuk menghindari deteksi dan menjalankan rantai eksekusi untuk meluncurkan Cobalt Strike Beacon. Ini adalah alat untuk mengendalikan komputer dari jarak jauh, menjalankan perintah, mencuri data dan mempertahankan akses persisten dalam jaringan. Teknik pembajakan DLL dan eksploitasi Crash Reporting Send Utility resmi digunakan untuk melancarkan serangan. Awalnya, Crash Reporting Send Utility tersebut dirancang untuk membantu pengembang menerima laporan kerusakan aplikasi secara rinci dan real-time.

Baca juga; Httpool Jadi Mitra Penjualan Iklan Opera Ads di Asia Tenggara  

“Kami tidak menemukan bukti penggunaan profil media sosial orang sungguhan oleh penyerang, semua akun dibuat khusus untuk serangan ini. Namun, tidak ada yang menghentikan pelaku ancaman untuk menyalahgunakan berbagai mekanisme yang tersedia di platform ini. Misalnya, rangkaian konten berbahaya dapat diposting di kolom komentar pada postingan pengguna yang resmi. Pelaku ancaman menggunakan metode kian kompleks untuk menyembunyikan alat yang sudah lama dikenal. Jadi penting untuk selalu mengikuti perkembangan intelijen ancaman terbaru agar terlindungi dari serangan semacam itu," ucap Maxim Starodubov, Kepala Tim Analis Malware di Kaspersky.

Serangan dilakukan dengan mengirim email spear phishing berkedok komunikasi resmi dari perusahaan-perusahaan besar milik negara untuk menyusup ke perangkat korban. Kedok tersebut khususnya mencatut perusahaan-perusahaan besar milik negara di bidang minyak dan gas. Susunan teks menunjukkan ketertarikan terhadap produk dan layanan organisasi korban agar penerima terbujuk membuka file yang dilampirkan dalam email. Lampiran file terlihat seperti berkas PDF yang memuat persyaratan produk dan layanan yang diminta. Namun, file tersebut sebenarnya memiliki format EXE dan DLL yang bisa dieksekusi dan mengandung malware.

Baca juga: Hati-hati, Tautan GitHub dan GitLab ‘Resmi’ Bisa Mengandung Malware 

Malware juga mengambil dan mengunduh kode yang disimpan dalam profil publik pada platform populer yang resmi untuk menghindari deteksi. Kode ini ditemukan Kaspersky terenkripsi di dalam profil di GitHub dan tautan yang juga terenkripsi. Tautan mengarah ke profil GitHub lainnya, Microsoft Learn Challenge, situs web Tanya Jawab, dan bahkan platform media sosial Rusia. Semua profil dan halaman dirancang khusus untuk serangan ini. Setelah kode berbahaya dieksekusi pada mesin korban, Cobalt Strike Beacon diluncurkan, sehingga sistem korban terinfeksi.

Profil di platform online populer yang mengandung kode berbahaya

Metode pengambilan alamat unduhan kode berbahaya mirip dengan yang diamati dalam serangan EastWind yang dikaitkan dengan pelaku berbahasa China.

Baca juga: DANA Gandeng Microsoft Integrasikan GitHub Copilot untuk Tingkatkan Produktivitas Kerja

Tips Aman dari Serangan Siber

Kaspersky memberikan beberapa saran berikut ini agar organisasi dapat tetap aman:

• Lacak status infrastruktur digital dan pantau perimeternya secara terus-menerus.
• Gunakan solusi keamanan yang terbukti untuk mendeteksi dan memblokir malware yang tertanam dalam email massal.
• Latih karyawan untuk meningkatkan kesadaran keamanan siber
• Amankan perangkat perusahaan dengan sistem menyeluruh yang mendeteksi dan memblokir serangan sejak dini.

Demikianlan beberapa tips dari Kaspersky agar dapat tetap aman dari serangan siber.