Astaga! Bayangkan, lagi asik-asikan kerja, eh tiba-tiba sistem perusahaan kena hack. Bukan cuma data yang hilang, tapi juga reputasi perusahaan ikut melayang. Ini bukan adegan film action, tapi ancaman nyata yang dihadapi banyak perusahaan, terutama di sektor energi, minyak, dan gas. Kita bahas yuk, gimana cara hacker zaman now beraksi.
Modus Operandi: OneClik, Sekali Klik Langsung Kena!
Ada kampanye jahat yang lagi ngetren di kalangan hacker, namanya OneClik. Mereka ini pintar banget memanfaatkan celah keamanan di Microsoft ClickOnce, sebuah teknologi yang seharusnya memudahkan kita menginstal aplikasi Windows. Tapi, di tangan hacker, ClickOnce jadi senjata mematikan. Mereka juga memanfaatkan layanan cloud AWS (Amazon Web Services) untuk menyembunyikan jejak. Jadi, susah banget dilacak!
ClickOnce itu ibarat kunci otomatis untuk membuka pintu aplikasi. Bayangkan, kamu tinggal klik sekali, aplikasi langsung terinstal tanpa ribet. Nah, hacker ini memanfaatkan kemudahan itu untuk menyusupkan malware ke sistem kita. Trellix, perusahaan cybersecurity, sudah menganalisis tiga varian serangan OneClik (v1a, BPI-MDM, dan v1d). Semuanya menggunakan backdoor canggih bernama RunnerBeacon yang ditulis dalam bahasa pemrograman Golang.
Setiap versi OneClik ini terus berkembang, taktiknya makin canggih, dan cara mereka menyembunyikan jejak juga makin pintar. Mereka jago banget menghindari deteksi dan sandbox, jadi makin susah ketahuan. Meskipun ada indikasi keterlibatan hacker yang berafiliasi dengan Tiongkok, para peneliti masih berhati-hati dalam memberikan atribusi. Intinya, jangan langsung menuduh sebelum ada bukti kuat, ya kan?
ClickOnce: Dari Kemudahan Menjadi Ancaman?
Serangan OneClik ini menggabungkan tools yang sah dengan malware khusus dan cloud serta enterprise tooling. Ini memungkinkan pelaku kejahatan menghindari deteksi operasi. Mereka mulai dengan phishing email yang berisi tautan ke situs analisis hardware palsu yang di-host di ekosistem Azure. Tautan ini mengarah ke file .APPLICATION (ClickOnce manifest) yang menyamar sebagai tool yang sah.
Peneliti Trellix mengatakan bahwa penyerang menggunakan aplikasi ClickOnce sebagai mekanisme pengiriman payload jahat tanpa memicu mekanisme User Account Control. "Aplikasi ClickOnce diluncurkan di bawah Layanan Penyebaran (dfsvc.exe), memungkinkan penyerang mem-proxy eksekusi payload jahat melalui host tepercaya ini." Karena aplikasi ClickOnce berjalan dengan hak istimewa tingkat pengguna (tidak diperlukan User Account Control), mereka menawarkan mekanisme pengiriman yang menarik bagi pelaku ancaman yang bertujuan menghindari peningkatan hak istimewa.
Setelah dieksekusi, loader ClickOnce menjalankan payload jahat dengan membajak cara aplikasi .NET memuat assembly, sebuah teknik yang disebut injeksi AppDomainManager. Dalam kasus OneClik, ini memungkinkan pelaku ancaman menggunakan executable .NET yang sah, seperti ZSATray.exe, umt.exe, atau ied.exe, untuk memuat sesuatu selain dependensi normal.
Dengan loader terpasang, eksekusi payload berlanjut di bawah dfsvc.exe, berbaur dengan aktivitas ClickOnce yang tidak berbahaya. Untuk menyembunyikan operasi untuk jangka waktu yang lebih lama, pelaku ancaman memanfaatkan layanan AWS yang sah, yang membuat komunikasi C2 tampak seperti penggunaan cloud normal karena bercampur dengan traffic CDN yang tidak berbahaya.
RunnerBeacon: Sang Mata-Mata di Balik Layar
Analisis terhadap backdoor RunnerBeacon berbasis Golang menunjukkan bahwa protokol C2-nya mengenkripsi semua traffic menggunakan algoritma stream cipher RC4 dan membuat serialisasi data menggunakan MessagePack. Fitur ini memiliki protokol pesan modular dengan berbagai jenis pesan, di antaranya BeaconData, FileRequest, CommandRequest, SOCKSRequest, dan FileUpload. Ini seperti punya asisten pribadi yang bisa disuruh-suruh untuk mencuri data.
Beberapa metode yang digunakan backdoor untuk menghalangi analisis, para peneliti menemukan rutinitas "obfuscate_and_sleep" dan "jitter" acak dalam interval beacon. Para peneliti juga mengamati perintah tingkat tinggi yang memungkinkan pelaku ancaman untuk:
- Menjalankan perintah shell (CreateProcessW)
- Mendaftar proses
- Menjalankan operasi file (daftar direktori, unggah, unduh)
- Melakukan tugas terkait jaringan (port scanning)
- Membangun tunnel SOCKS5 untuk mem-proxy traffic data
Kemampuan RunnerBeacon tambahan mencakup operasi lanjutan seperti injeksi proses dan menyiapkan panggung untuk peningkatan hak istimewa. Trellix mengatakan bahwa desain RunnerBeacon mirip dengan beacon Cobalt Strike berbasis Go yang dikenal seperti yang ada di keluarga Geacon.
Siapa Dalangnya? Masih Misteri…
Meskipun kampanye OneClik baru ditemukan baru-baru ini, pada awal Maret, varian loader RunnerBeacon diidentifikasi pada bulan September 2023 di sebuah perusahaan di Timur Tengah di sektor minyak dan gas. Metode pengiriman tidak dapat ditentukan, tetapi kode varian hampir identik dengan modul yang dianalisis dari operasi OneClik.
Petunjuk yang mengarah pada aktivitas yang terkait dengan aktor negara yang berafiliasi dengan Tiongkok mencakup taktik, teknik, dan prosedur yang terlihat dalam kampanye lain yang dikaitkan dengan pelaku ancaman Tiongkok. Trellix menyoroti bahwa teknik injeksi .NET AppDomainManager telah digunakan dalam beberapa serangan cyber yang dikaitkan dengan pelaku ancaman Tiongkok. Hal yang sama berlaku untuk metode yang digunakan untuk menyebarkan payload terenkripsi. Selain itu, kampanye terkait Tiongkok sebelumnya menunjukkan preferensi untuk pementasan berbasis cloud menggunakan layanan dari Alibaba dan Amazon.
Namun, tumpang tindih ini tidak cukup untuk mengatribusikan serangan OneClik ke pelaku ancaman tertentu. Jadi, meskipun ada indikasi kuat, kita tidak bisa langsung menunjuk hidung siapa dalangnya. Butuh investigasi lebih lanjut untuk mengungkap kebenaran.
Intinya: Jangan anggap remeh ancaman cyber. Selalu waspada dan update sistem keamanan secara berkala. Jangan sampai perusahaan kita jadi korban OneClik berikutnya!
