TechDaily.id – Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengungkap backdoor baru berbasis perangkat lunak sumber terbuka, yang dijuluki GhostContainer.
Malware yang sebelumnya tidak dikenal dan sangat terkustomisasi ini ditemukan dalam kasus respons insiden (IR), yang menargetkan infrastruktur Exchange di ekosistem pemerintahan. Malware ini kemungkinan merupakan bagian dari kampanye ancaman persisten tingkat lanjut (APT) yang menargetkan entitas bernilai tinggi di Asia, termasuk perusahaan teknologi tinggi.
Berkas yang dideteksi oleh Kaspersky sebagai App_Web_Container_1.dll ternyata merupakan backdoor multifungsi canggih yang memanfaatkan beberapa proyek sumber terbuka dan dapat diperluas secara dinamis dengan fungsionalitas yang dapat diubah-ubah melalui unduhan modul tambahan.
Setelah dimuat, backdoor ini memberi penyerang kendali penuh atas server Exchange, yang memungkinkan berbagai aktivitas berbahaya. Untuk menghindari deteksi oleh solusi keamanan, GhostContainer menggunakan beberapa teknik penghindaran dan menampilkan dirinya sebagai komponen server yang sah untuk berbaur dengan operasi normal.
Selain itu, GhostContainer dapat bertindak sebagai proksi atau tunnel, yang berpotensi mengekspos jaringan internal terhadap ancaman eksternal atau memfasilitasi eksfiltrasi data sensitif dari sistem internal. Oleh karena itu, spionase
siber diduga menjadi tujuan kampanye ini.
“Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka terkait infiltrasi IIS dan lingkungan Exchange, serta menciptakan dan meningkatkan alat spionase canggih berdasarkan kode yang tersedia untuk umum. Kami akan terus memantau aktivitas mereka, beserta cakupan dan skala serangan ini, untuk mendapatkan pemahaman lebih baik tentang lanskap ancaman tersebut,” kata Sergey Lozhkin, Kepala GReAT, APAC & META.
Saat ini, GhostContainer belum dapat dikaitkan dengan kelompok pelaku ancaman mana pun, karena penyerang belum mengekspos infrastruktur apa pun. Malware ini menggabungkan kode dari beberapa proyek sumber terbuka yang dapat diakses publik, yang dapat dimanfaatkan oleh peretas atau kelompok APT di seluruh dunia. Perlu dicatat, pada akhir tahun 2024, total 14.000 paket berbahaya telah diidentifikasi dalam proyek sumber terbuka — meningkat 48% dibandingkan akhir tahun 2023 — yang menyoroti meningkatnya ancaman di area ini.
Untuk menghindari menjadi korban serangan tertarget oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky merekomendasikan penerapan langkah-langkah berikut:
Berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence adalah titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman tertarget terbaru dengan pelatihan daring Kaspersky yang dikembangkan oleh para ahli GReAT.
Untuk deteksi, investigasi, dan remediasi insiden di tingkat titik akhir, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response.
Selain mengadopsi perlindungan titik akhir yang esensial, terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di level jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
Karena banyak serangan tertarget dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda – misalnya, melalui Kaspersky Automated Security Awareness Platform.
