GhostContainer: Backdoor Open Source Mengintai Server!

Lentera Pos- Tim peneliti Kaspersky baru-baru ini mengungkap ancaman siber baru yang mengkhawatirkan, yaitu backdoor bernama GhostContainer. Malware canggih ini berbasis pada perangkat lunak sumber terbuka (open source), membuatnya sulit dideteksi dan dianalisis. Penemuan ini muncul dalam investigasi insiden yang menargetkan infrastruktur Microsoft Exchange di lingkungan pemerintahan.

GhostContainer diduga kuat merupakan bagian dari kampanye Advanced Persistent Threat (APT), yang mengincar target-target bernilai tinggi di Asia, termasuk perusahaan teknologi terkemuka. Yang membuat malware ini berbahaya adalah kemampuannya untuk beradaptasi dan diperluas. Setelah berhasil menyusup, GhostContainer memberikan kendali penuh kepada penyerang atas server Exchange yang terinfeksi.

Malware ini menyembunyikan diri dengan sangat baik, meniru komponen server yang sah untuk menghindari deteksi oleh sistem keamanan. Lebih jauh lagi, GhostContainer dapat berfungsi sebagai proxy atau tunnel, membuka pintu bagi ancaman eksternal untuk masuk ke jaringan internal atau mencuri data sensitif. Dugaan kuatnya, tujuan utama kampanye ini adalah spionase siber.

Sergey Lozhkin, Kepala GReAT APAC & META di Kaspersky, menekankan bahwa penyerang sangat mahir dalam mengeksploitasi sistem Exchange. Mereka memanfaatkan berbagai proyek sumber terbuka untuk menyusup ke lingkungan IIS dan Exchange, serta menciptakan alat spionase canggih berdasarkan kode publik. Kaspersky akan terus memantau aktivitas ini untuk memahami lanskap ancaman dengan lebih baik.

Saat ini, belum ada kelompok peretas yang secara pasti dikaitkan dengan GhostContainer. Namun, fakta bahwa malware ini menggunakan kode dari proyek sumber terbuka yang tersedia untuk umum berarti bahwa potensi ancamannya sangat luas. Data terbaru menunjukkan bahwa jumlah paket berbahaya dalam proyek sumber terbuka meningkat tajam, mencapai 14.000 pada akhir 2024, naik 48% dari tahun sebelumnya.

Untuk melindungi diri dari serangan serupa, Kaspersky merekomendasikan beberapa langkah penting:

• Berikan tim SOC Anda akses ke threat intelligence (TI) terbaru. Kaspersky Threat Intelligence menyediakan data dan wawasan serangan siber yang dikumpulkan selama lebih dari 20 tahun.
• Tingkatkan keterampilan tim keamanan siber Anda melalui pelatihan online Kaspersky yang dikembangkan oleh para ahli GReAT.
• Terapkan solusi Endpoint Detection and Response (EDR) seperti Kaspersky Endpoint Detection and Response untuk deteksi, investigasi, dan remediasi insiden.
• Selain perlindungan endpoint dasar, gunakan solusi keamanan tingkat perusahaan seperti Kaspersky Anti Targeted Attack Platform untuk mendeteksi ancaman tingkat lanjut di level jaringan.
• Latih tim Anda tentang kesadaran keamanan dan berikan keterampilan praktis untuk mengenali phishing dan teknik rekayasa sosial lainnya, misalnya melalui Kaspersky Automated Security Awareness Platform. Informasi ini dikutip dari lenterapos.com.