Tim Riset dan Analisis Global (GReAT) Kaspersky baru-baru ini mengungkap adanya backdoor baru bernama GhostContainer yang menargetkan server Microsoft Exchange, terutama di sektor pemerintahan dan entitas bernilai tinggi di Asia. Malware ini, yang awalnya tidak dikenal, menunjukkan kemampuan canggih dalam menyusup ke sistem dengan memanfaatkan berbagai proyek perangkat lunak sumber terbuka.
GhostContainer adalah berkas yang terdeteksi sebagai App_Web_Container_1.dll dan dikategorikan sebagai backdoor multifungsi. Keunikannya terletak pada kemampuannya untuk diperluas secara dinamis. Dengan mendownload modul tambahan, penyerang dapat mengubah fungsionalitas malware ini. Setelah berhasil dimuat ke sistem, GhostContainer memberi kendali penuh atas server Exchange kepada penyerangnya. Hal ini memberi peluang bagi penyerang untuk melakukan berbagai aktivitas berbahaya yang dapat merusak data dan infrastruktur.
Salah satu teknik yang digunakan GhostContainer untuk menghindari deteksi adalah dengan menyamarkan dirinya sebagai komponen server yang sah. Langkah ini memungkinkan malware ini berbaur dengan operasi normal server, membuatnya sulit untuk dideteksi oleh solusi keamanan tradisional. Selain fungsi utama sebagai backdoor, GhostContainer juga dapat berfungsi sebagai proksi atau tunnel, memperbesar risiko serangan yang dapat membahayakan jaringan internal dan mengakibatkan eksfiltrasi data sensitif.
Menurut Sergey Lozhkin, Kepala GReAT untuk APAC & META, para penyerang menunjukkan keterampilan tinggi dalam mengeksploitasi sistem Exchange dan menggunakan berbagai proyek sumber terbuka. “Mereka menciptakan alat spionase canggih berdasarkan kode yang tersedia untuk umum,” ujarnya. Keberadaan GhostContainer juga mencerminkan peningkatan ancaman yang berasal dari penggunaan kode sumber terbuka; hingga akhir 2024, tercatat total 14.000 paket berbahaya yang telah diidentifikasi di berbagai proyek tersebut, meningkat 48% dibandingkan tahun sebelumnya.
Demi mencegah serangan serupa, Kaspersky merekomendasikan beberapa langkah strategis kepada organisasi, terutama tim SOC. Pertama, penting untuk memberikan akses intelijen ancaman terbaru kepada tim keamanan. Kedua, meningkatkan keterampilan tim siber menjadi kunci dalam menghadapi ancaman yang semakin mutakhir. Ketiga, mengimplementasikan solusi EDR (Endpoint Detection and Response) dapat membantu dalam mendeteksi ancaman secara efisien. Pengetatan prosedur keamanan dan pelatihan kesadaran keamanan siber juga sangat dianjurkan untuk meningkatkan keamanan secara keseluruhan.
Situasi ini menyoroti pentingnya kewaspadaan dalam menghadapi perkembangan teknologi dan metode serangan yang semakin kompleks. Dengan semakin banyaknya serangan yang menyasar entitas berharga, perlunya pengembangan teknologi keamanan yang mumpuni dan keterampilan tim menjadi lebih mendesak. Penambahan lapisan keamanan yang lebih baik dan pemantauan berkelanjutan dapat membantu organisasi dalam melindungi data sensitif mereka dari ancaman yang tidak terduga.
GhostContainer mendemonstrasikan bagaimana malware dapat disamarkan dan beradaptasi dengan sistem yang ada, mendefinisikan ulang tantangan yang dihadapi oleh profesional keamanan siber di seluruh dunia. Dengan terus berkembangnya ancaman, penting bagi setiap sektor untuk tetap sigap dan siap menghadapi potensi risiko yang dapat muncul sewaktu-waktu.
-
-
-
-
