Ancaman Tersembunyi di Asia Tenggara

Image credit: Freepix

Ancaman Tersembunyi di Asia Tenggara – Sebuah kampanye serangan siber berskala besar yang telah berlangsung selama bertahun-tahun kini teridentifikasi.

Operasi senyap ini diketahui menargetkan organisasi-organisasi bernilai tinggi di kawasan Asia Selatan, Asia Timur, dan Asia Tenggara.

Serangan ini menyasar sektor-sektor vital seperti penerbangan, energi, pemerintahan, penegakan hukum, farmasi, teknologi, hingga telekomunikasi.

Peneliti telah mengatribusikan aktivitas ini kepada kelompok ancaman yang sebelumnya belum terdokumentasi, yang dijuluki CL-UNK-1068.

Meskipun motivasi pastinya masih dalam penelitian, para ahli menilai dengan tingkat keyakinan moderat hingga tinggi bahwa tujuan utama kampanye ini adalah spionase siber.

Baca juga: SIM Farm Industri Pencurian Kredensial

Perpaduan Alat Kustom dan Open-Source

Kelompok ini menunjukkan fleksibilitas yang luar biasa dengan beroperasi di lingkungan Windows maupun Linux.

Mereka menggunakan kombinasi perangkat yang cerdas untuk menjaga keberadaan mereka di jaringan target tanpa terdeteksi:

  1. Web Shell Populer: Mereka menggunakan alat seperti Godzilla dan ANTSWORD untuk mendapatkan kendali atas server web yang berhasil dieksploitasi.
  2. Backdoor Linux: Penggunaan Xnote, sebuah backdoor Linux yang telah terdeteksi sejak 2015, memungkinkan mereka mempertahankan akses jarak jauh pada sistem berbasis Linux.
  3. LOLBINs (Living-off-the-Land Binaries): Penyerang memanfaatkan utilitas sah yang sudah ada di dalam sistem operasi untuk menjalankan perintah berbahaya, sehingga sulit dideteksi oleh perangkat lunak keamanan tradisional.
  4. Alat Kustom: Peneliti menemukan penggunaan pemindai kustom berbasis bahasa pemrograman Go yang disebut ScanPortPlus serta alat pengumpul informasi berbasis .NET bernama SuperDump.

Metode Pencurian Data yang Unik dan Cerdik

Salah satu aspek yang paling menarik dari kampanye CL-UNK-1068 adalah metode yang mereka gunakan untuk mengambil data tanpa harus mengunggah file ke luar jaringan (eksfiltrasi). Berikut adalah tahapan yang mereka lakukan:

Pengumpulan File Strategis

Penyerang mencari file spesifik seperti konfigurasi web (web.config), riwayat peramban, bookmark, serta file basis data (.bak) untuk mencuri kredensial atau menemukan celah keamanan baru.

Teknik Eksfiltrasi Tanpa File

  • Penyerang mengarsipkan file yang dicuri menggunakan WinRAR.
  • Arsip tersebut kemudian diubah menjadi format teks Base64 menggunakan perintah sistem certutil.
  • Isi teks Base64 tersebut kemudian “dicetak” ke layar melalui web shell.
  • Penyerang cukup menyalin teks tersebut dari layar mereka sendiri tanpa perlu melakukan transfer file langsung yang berisiko memicu peringatan keamanan.

Baca juga: Serangan Kredensial Disukai Peretas

Pencurian Kredensial Skala Industri

Kelompok ini sangat fokus pada pengumpulan identitas pengguna untuk memperluas akses mereka di dalam jaringan. Beberapa alat yang digunakan meliputi:

  • Mimikatz: Digunakan untuk mengambil kata sandi langsung dari memori sistem.
  • LsaRecorder: Alat kustom untuk merekam kata sandi saat pengguna melakukan login ke sistem Windows.
  • Volatility Framework & DumpItForLinux: Digunakan untuk mengekstrak hash kata sandi dari memori pada sistem Linux.
  • SQL Studio Password Export: Alat khusus untuk mengambil informasi koneksi dari Microsoft SQL Server Management Studio.

Menghadapi Ancaman Persisten

Peneliti menyarankan beberapa langkah mitigasi untuk melindungi organisasi dari kelompok seperti CL-UNK-1068:

  1. Awasi aktivitas yang tidak lazim dari perintah sistem seperti certutil.exe atau findstr.exe, terutama jika digunakan untuk mengolah file dalam jumlah besar.
  2. Karena web shell adalah pintu masuk utama, pastikan server web selalu diperbarui dan lakukan pemindaian rutin terhadap integritas file di direktori publik (seperti inetpub).
  3. Mengingat fokus utama kelompok ini adalah pencurian kredensial, penggunaan autentikasi multifaktor yang tahan terhadap phishing sangatlah krusial.

CL-UNK-1068 membuktikan bahwa efektivitas serangan siber tidak selalu bergantung pada alat yang mahal, tetapi pada kecerdikan dalam memanfaatkan alat yang sudah ada.

Keberhasilan mereka dalam menyusup ke organisasi penting di Asia menjadi pengingat bahwa pertahanan siber harus selalu selangkah lebih maju dalam memantau perilaku aneh di dalam jaringan sendiri.

 

 

 

 

Baca artikel lainnya: 

 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Manipulasi Kode dan Bypass Keamanan

Manipulasi Kode dan Bypass Keamanan

March 11, 2026 0
Serangan Xpath Injection

Serangan Xpath Injection

March 11, 2026 0

You may have missed

Manipulasi Kode dan Bypass Keamanan

Manipulasi Kode dan Bypass Keamanan

March 11, 2026 0
Ancaman Tersembunyi di Asia Tenggara

Ancaman Tersembunyi di Asia Tenggara

March 11, 2026 0
Serangan Xpath Injection

Serangan Xpath Injection

March 11, 2026 0
Command Injection Pembajakan Sistem Anda

Command Injection Pembajakan Sistem Anda

March 10, 2026 0
Taktik Penipuan Reverse DNS

Taktik Penipuan Reverse DNS

March 10, 2026 0
Mengenal Vibeware

Mengenal Vibeware

March 10, 2026 0