Image credit: Freepix
Serangan PhantomCore Incar Microsoft Exchange – Para peneliti keamanan siber telah mengamati serangan besar-besaran yang menargetkan server Microsoft Exchange yang terekspos secara publik.
Serangan ini sangat berbahaya karena penyerang berhasil menyuntikkan kode berbahaya langsung ke laman login Outlook, yang berfungsi untuk mencuri kredensial pengguna secara diam-diam.
Menurut analisis terbaru dari Positive Technologies, serangan ini telah menargetkan 65 korban di 26 negara di seluruh dunia.
Operasi ini merupakan kelanjutan dari operasi yang pertama kali didokumentasikan pada Mei 2024 dan menargetkan entitas di berbagai wilayah.
Keylogger di Laman Outlook
Penjahat siber memanfaatkan kerentanan yang sudah lama ada pada server Exchange (seperti ProxyShell) untuk memasukkan kode keylogger JavaScript ke dalam laman login yang sah. Saat pengguna mengetikkan username dan password mereka, kode jahat ini langsung merekamnya.
Para peneliti mengidentifikasi dua jenis keylogger utama yang digunakan:
|
Baca juga: Ancaman Karyawan Samaran Deepfake |
1. Tipe Senyap (Penyimpanan Lokal)
- Kode ini membaca dan memproses data dari formulir autentikasi, lalu mengirimkannya melalui permintaan XHR ke laman tertentu di server Exchange yang sudah disusupi.
- Server menyimpan data curian tersebut ke dalam sebuah file yang dapat diakses dari jaringan eksternal.
- Keunggulan untuk Hacker: Peluang deteksi hampir nol, karena tidak ada lalu lintas keluar (outbound traffic) yang mencurigakan yang ditransmisikan, sehingga melewati banyak pertahanan jaringan.
2. Tipe Transmisi Langsung
- Kode ini segera mengirimkan data yang dikumpulkan ke server eksternal.
- Salah satu varian menggunakan bot Telegram sebagai titik eksfiltrasi, menyembunyikan login dan password yang dienkode dalam header permintaan. Metode lain melibatkan penggunaan DNS tunnel bersamaan dengan permintaan HTTPS POST untuk menyelundupkan kredensial melewati pertahanan organisasi.
Di Balik Serangan dan Targetnya
Awalnya identitas pelaku tidak diketahui. Namun, analisis terbaru pada Agustus 2025 mengaitkan keylogger ini dengan kelompok peretasan yang bertanggung jawab atas malware PhantomCore.
- Jalur Infeksi PhantomCore: Penilaian ini didasarkan pada analisis infrastruktur penyerang, termasuk domain yang digunakan untuk meng-hosting aplikasi palsu (ditulis menggunakan framework Qt) yang meniru kalkulator pembayaran. Aplikasi ini sebenarnya berisi kode berbahaya yang menghubungi server eksternal untuk mengambil payload tahap selanjutnya, yaitu malware PhantomDL yang terhubung dengan PhantomCore.
- Korban Terkini: Dalam beberapa bulan terakhir, lebih dari 5.000 akun telah dicuri dari 10 korban baru yang merupakan perusahaan di Rusia yang bergerak di bidang konsultasi IT dan pengembangan solusi IT.
- Target Global: Serangan ini bersifat global, menargetkan agensi pemerintah, bank, perusahaan IT, dan lembaga pendidikan. Vietnam, Rusia, Taiwan, Tiongkok, Pakistan, Lebanon, Australia, Zambia, Belanda, dan Turki termasuk di antara 10 target teratas. 22 dari server yang disusupi adalah milik organisasi pemerintah.
|
Baca juga: Qilin Evolusi Ancaman Siber Lintas Platform |
Pemanfaatan Kerentanan Lama (Pentingnya Patching)
Serangan ini berhasil karena sejumlah besar server Microsoft Exchange yang dapat diakses dari internet masih rentan terhadap kerentanan yang sudah lama ditemukan dan seharusnya sudah ditambal.
Penyerang memanfaatkan celah keamanan terkenal seperti ProxyShell dan ProxyLogon, termasuk serangkaian kerentanan kritis yang memungkinkan eksekusi kode jarak jauh (Remote Code Execution – RCE):
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 (ProxyShell)
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065 (ProxyLogon)
Dengan menyematkan kode berbahaya ke dalam halaman autentikasi yang sah, penyerang mampu bertahan tanpa terdeteksi untuk jangka waktu yang lama sambil mencuri kredensial pengguna dalam bentuk plaintext (teks biasa).
Rekomendasi Keamanan untuk Perusahaan
Kasus ini menekankan betapa pentingnya manajemen kerentanan yang proaktif:
- Perusahaan harus segera mem-patch semua server Microsoft Exchange dengan update terbaru, terutama untuk kerentanan terkenal seperti ProxyShell dan ProxyLogon.
- Jika tidak diperlukan, batasi akses server Exchange dari internet publik. Gunakan firewall dan VPN untuk mengamankan akses jarak jauh.
- Aktifkan Autentikasi Multi-Faktor (MFA) untuk semua akun yang mengakses server Exchange atau Outlook Web Access (OWA). Meskipun kata sandi dicuri, MFA akan mencegah hacker masuk.
- Terapkan solusi Endpoint Detection and Response (EDR) dan pantau lalu lintas internal server. Meskipun keylogger tipe pertama tidak menggunakan lalu lintas keluar, setiap penulisan data ke file lokal di server harus dianggap sebagai anomali yang mencurigakan.
Baca artikel lainnya:
- Bongkar Taktik 4 Tahap Penipuan BEC
- Mengapa MSP Wajib Adopsi Layanan MDR
- Shadow IT Ancaman di Balik Layar
- CoPhish Modus Phising Baru Lewat Copilot
- Browser in the Middle
- Awas! Infostealer Canggih Incar Data Pembayaran
- Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!
- Modus Penipuan Email Bisnis Paling Merugikan
- 10 Malware Tercanggih yang Mengintai Ponsel Android
- Waspada Jingle Thief Cloud Ritel Jadi Target Utama
- Serangan DreamJob Incar Pabrik Drone
Sumber berita:
