Serangan Siber Makin Canggih, GitHub Hingga Quora Jadi Alat Penjahat

Perusahaan keamanan siber Kaspersky menemukan serangkaian serangan siber kompleks yang melibatkan pengambilan informasi dari layanan sah seperti GitHub, Microsoft Learn Challenge, Quora, hingga jejaring sosial.

Menurut Kaspersky, para penyerang melakukan hal tersebut untuk menghindari deteksi dan menjalankan rantai eksekusi untuk meluncurkan Cobalt Strike Beacon.

Cobalt Strike Beacon merupakan sebuah alat untuk mengendalikan komputer dari jarak jauh, menjalankan perintah, mencuri data, dan mempertahankan akses persisten dalam jaringan.

Serangan tersebut terdeteksi pada paruh kedua tahun 2024 di berbagai organisasi di China, Jepang, Malaysia, Peru, dan Rusia, dan berlanjut hingga 2025. Mayoritas korban adalah perusahaan besar hingga menengah.

Lihat Juga : Waspada! Ada Malware Pencuri Data Sembunyi di Ratusan Aplikasi Kencan

Untuk menyusup ke perangkat korban, para penjahat siber mengirimkan email spear phishing yang disamarkan sebagai komunikasi sah dari perusahaan-perusahaan besar milik negara, khususnya di sektor minyak dan gas.

Teks pesan ini dirangkai sedemikian rupa sehingga tampak seperti ada minat terhadap produk dan layanan organisasi korban, untuk meyakinkan penerima agar membuka lampiran berbahaya tersebut.

Lampiran tersebut berupa arsip yang tampak seperti berkas PDF berisi persyaratan untuk produk dan layanan yang diminta. Faktanya, beberapa PDF tersebut adalah berkas EXE dan DLL yang dapat dieksekusi dan berisikan malware.

Para penjahat siber memanfaatkan teknik pembajakan DLL dan mengeksploitasi Crash Reporting Send Utility sah, yang awalnya dirancang untuk membantu pengembang mendapatkan laporan kerusakan yang terperinci dan real-time untuk aplikasi mereka.

Agar berfungsi, malware ini juga mengambil dan mengunduh kode yang disimpan di profil publik pada platform populer yang sah untuk menghindari deteksi.

Kaspersky menemukan kode ini terenkripsi di dalam profil di GitHub, dan tautan ke sana juga terenkripsi di profil GitHub lainnya, Microsoft Learn Challenge, situs web Tanya Jawab, dan bahkan platform media sosial Rusia.

Semua profil dan halaman ini dibuat khusus untuk serangan ini. Setelah kode berbahaya dieksekusi pada mesin korban, Cobalt Strike Beacon diluncurkan, yang menyebabkan sistem korban terinfeksi.

"Meskipun kami tidak menemukan bukti penyerang menggunakan profil media sosial orang sungguhan, karena semua akun dibuat khusus untuk serangan ini, tidak ada yang menghentikan pelaku ancaman untuk menyalahgunakan berbagai mekanisme yang tersedia di platform ini. Misalnya, rangkaian konten berbahaya dapat diposting di kolom komentar pada postingan pengguna yang sah," kata Maxim Starodubov, Kepala Tim Analis Malware di Kaspersky, dalam sebuah keterangan, Senin (4/8).

"Pelaku ancaman menggunakan metode yang semakin kompleks untuk menyembunyikan alat yang sudah lama dikenal, dan penting untuk selalu mengikuti perkembangan intelijen ancaman terbaru agar terlindungi dari serangan semacam itu," lanjutnya.

Lebih lanjut, Kaspersky mengatakan metode yang digunakan untuk mengambil alamat unduhan kode berbahaya serupa dengan yang diamati dalam serangan EastWind yang dikaitkan dengan pelaku berbahasa China.

Untuk menghindari serangan semacam ini, Kaspersky memberikan beberapa tips agar organisasi tetap aman. Berikut tipsnya:
- Lacak status infrastruktur digital dan pantau perimeternya secara terus-menerus.
- Gunakan solusi keamanan yang terbukti untuk mendeteksi dan memblokir malware yang tertanam dalam email massal.
- Latih staf untuk meningkatkan kesadaran keamanan siber.
- Amankan perangkat perusahaan dengan sistem komprehensif yang mendeteksi dan memblokir serangan sejak dini.