Serangan Siber "Squidoor": Ketika Dunia Maya Jadi Arena Perang Dingin
Kamu pasti pernah dengar kan, kalau dunia digital itu wild west banget? Nah, baru-baru ini ada cerita seru (tapi serem juga) tentang kelompok hacker dari China yang bikin heboh. Mereka disebut CL-STA-0049, dan sepak terjangnya bikin geleng-geleng kepala. Ceritanya, mereka berhasil membobol sistem pemerintahan, pertahanan, telekomunikasi, pendidikan, bahkan penerbangan di Asia Tenggara dan Amerika Selatan. Gokil, kan?
Mereka nggak cuma sekadar iseng, ya. Tujuan utamanya adalah mengumpulkan informasi sensitif, termasuk data pejabat penting. Bayangin, kalau sampai data-data strategis negara bocor ke tangan yang salah. Ngeri! Mereka juga punya teknik yang canggih buat nyembunyiin jejak mereka, mulai dari web shells sampai saluran komunikasi rahasia.
Jebakan Digital: Awal Mula Sang Penyerang
Akses awal mereka ke jaringan itu, bisa dibilang, skill mereka di atas rata-rata. Mereka memanfaatkan celah keamanan di server Internet Information Services (IIS), lalu memasang web shells. Ibaratnya, web shells ini pintu belakang yang terus aktif, jadi mereka bisa masuk dan ngontrol sistem kapan aja.
Ada empat web shells utama yang mereka pakai, mirip banget satu sama lain. Semua punya kunci dekripsi, kode yang di-obfuscate (disamarkan), dan pola kode yang sama. Mirip kayak copy-paste, tapi tujuannya jahat gitu, deh. Hih.
Mereka bahkan nyimpen beberapa web shells di bashupload[.]com. Terus, mereka download dan decode pake certutil, perintah yang ada di Windows. Gokil lagi, mereka juga nyebar web shells ini ke server lain.
Menjelajah Jaringan: Menyebar Bak Virus
Setelah berhasil masuk, mereka mulai bergerak dengan cara yang bikin kita mikir, "Gila, kreatif banget!" Mereka pakai curl dan Impacket buat nyebar web shells di berbagai server. Kayak virus, ya. Mereka juga menyamarkan web shells sebagai sertifikat dan menyalinnya ke server lain pakai Windows Management Instrumentation (WMI). Hmm, kayak mata-mata, deh.
Squidoor: Si Penyamar Handal
Nah, backdoor utama yang mereka gunakan disebut Squidoor. Ini bukan malware kaleng-kaleng, ya. Dia dirancang buat stealth, alias nyamar, biar nggak ketahuan. Kayak agen rahasia.
Tujuan mereka? Tetep eksis di jaringan, bergerak ke mana aja, bikin jalur komunikasi rahasia dengan komandan mereka, dan ngumpulin data sensitif. Serem, kan? Untungnya, Squidoor ini multi-platform. Ada versi buat Windows dan Linux.
Squidoor punya banyak cara buat komunikasi dengan server komando. Versi Windows punya 10 metode, dan Linux ada 9. Beberapa buat komunikasi eksternal, beberapa buat komunikasi internal di jaringan yang udah kena. Strategis banget. Squidoor bisa ngelakuin banyak hal: ngumpulin info tentang komputer yang kena, ngejalanin perintah, nyuntik kode ke proses, sampai ngirim payload tambahan.
Teknik LOLBAS yang Jarang Dipakai: cdb.exe
Yang lebih bikin geleng-geleng, mereka pakai teknik yang jarang banget dipakai, namanya LOLBAS. Mereka pakai cdb.exe, debugger bawaan Windows. Kayak sulap, cdb.exe ini diubah namanya jadi fontdrvhost.exe, buat nge-load shellcode. Setelah itu, shellcode dari file config.ini dijalankan.
Setelah itu, payload Squidoor lainnya (LoadShellcode.x64.dll) yang dimasukin ke mspaint.exe buat nge-load dan mendekripsi Squidoor lain dari file wmsetup.log. Pusing, kan? Tapi, ini yang bikin mereka susah dideteksi.
Buat bikin Squidoor tetep aktif, mereka bikin scheduled task namanya Microsoft\Windows\AppID\EPolicyManager. Dari situ, shellcode dieksekusi. Benar-benar expert dalam nyembunyiin diri.
Cara Kerja Squidoor: Rahasia yang Tersembunyi
Begitu Squidoor jalan, dia bakal nge-dekripsi konfigurasi yang udah di-hard-code. Konfigurasi itu isinya satu angka (0-9) yang nunjukin metode komunikasi apa yang bakal dipakai. Ada juga parameter lain buat komunikasi dengan server komando, kayak nama domain, IP address, port, kunci enkripsi, sampai access token. Makin kompleks, makin susah dilacak.
Squidoor ngasih banyak pilihan buat komunikasi. Kalau pakai metode Outlook, ia bakal login ke Microsoft identity platform pakai refresh token. Terus, dia kirim request ke Pastebin buat ngecek.
Mengintip Lewat Outlook: Rahasia di Balik Email
Kalau konfigurasinya COutLookTransChannel, Squidoor bakal login ke Microsoft identity platform pakai refresh token yang udah di-hard-code. Token ini disimpan di registry. Kemudian, Squidoor kirim request HTTP GET ke Pastebin yang isinya cuma angka "1". Mungkin buat ngecek berapa banyak implants yang udah konek lewat API Outlook.
Terus, Squidoor pakai Outlook REST API buat ngecek folder drafts. Dia nyari email dengan subjek yang isinya string p_{random_generated_number}. Kalau nggak ada, dia kirim email ke penyerang, dengan subjek yang sama, dan isi Base64-encoded random sequence byte. Penyerang pakai nomor unik ini buat bedain implants Squidoor yang ngirim perintah.
Setelah itu, Squidoor mulai ngecek email buat perintah. Dia nyari email dengan subjek r_{random_generated_number}. Isi email itu di-dekripsi, di-deobfuscate, dan di-decode. Ribet banget, tapi inilah cara mereka ngirim perintah atau kode jahat.
Kemampuan Squidoor: Sang Penguasa
Squidoor punya banyak kemampuan. Dia bisa reconnaissance, kayak nyari tahu nama pengguna, hostname, IP address, dan sistem operasi. Dia bisa ngejalanin perintah sembarangan, nyari file, nyari proses yang lagi jalan, ngambil file, nyebar malware lain, nyuntik kode, bahkan ngirim perintah ke implant Squidoor lain. Semua bisa dikendalikan dari jauh.
Code Injection: Aksi Penyusupan
Squidoor juga bisa nyuntik kode, biasanya pakai teknik DLL injection klasik. Di Windows, dia bisa nyuntik ke mspaint.exe (atau conhost.exe kalau mspaint.exe nggak ada), atau ke proses lain yang dipilih penyerang.
Jahatnya, Squidoor bisa ngejalanin modul tambahan yang disuntik ke mspaint.exe, conhost.exe, taskhostw.exe, atau vmtoolsd.exe. Modul-modul ini butuh password buat jalan, biar nggak gampang dianalisa. Kayak brankas rahasia.
Mengabadikan Data dengan Pastebin
Kelompok hacker ini juga pakai Pastebin, buat nyimpen data konfigurasi. Mereka punya dua akun di sana. Isinya, token akses dan API key. Mirip catatan pribadi, tapi tujuannya jahat.
Mereka bahkan sempat hapus semua file di Pastebin, lalu bikin yang baru lagi. Isinya, token Microsoft Graph API, dengan nama yang mengindikasikan target yang berbeda. Bener-bener nggak ada ampun.
Singkatnya, serangan ini nunjukkin betapa advanced-nya para penjahat siber zaman sekarang. Mereka nggak cuma jago coding, tapi juga jago nyembunyiin diri dan punya strategi yang matang.
