Adobe Rilis Patch Darurat untuk Celah Kritis Acrobat Reader yang Dieksploitasi Aktif - 2026

Perusahaan perangkat lunak Adobe merilis pembaruan keamanan darurat untuk menutup kerentanan kritis pada produk Acrobat dan Acrobat Reader setelah ditemukan bukti eksploitasi aktif di dunia nyata. Celah keamanan ini, yang diidentifikasi sebagai CVE-2026-34621, memungkinkan penyerang menjalankan kode berbahaya pada sistem korban melalui dokumen PDF yang dirancang secara khusus.

Kerentanan tersebut memiliki skor CVSS 8,6 dari 10, menandakan tingkat keparahan tinggi dengan potensi dampak signifikan terhadap integritas dan keamanan sistem. Dalam analisis teknisnya, celah ini dikategorikan sebagai prototype pollution, sebuah kelemahan dalam konteks JavaScript yang memungkinkan manipulasi properti objek secara tidak sah. Dalam praktiknya, teknik ini dapat membuka jalur bagi eksekusi kode arbitrer, yang berarti penyerang tidak hanya dapat membaca data tetapi juga menjalankan perintah berbahaya di lingkungan korban.

Celah ini memengaruhi berbagai versi produk Acrobat di sistem operasi Windows dan macOS. Adobe mengonfirmasi bahwa versi Acrobat DC dan Acrobat Reader DC hingga 26.001.21367 terdampak, dengan perbaikan telah dirilis pada versi 26.001.21411. Sementara itu, untuk lini Acrobat 2024, versi sebelum 24.001.30356 juga terdampak, dengan patch tersedia pada versi 24.001.30362 untuk Windows dan 24.001.30360 untuk macOS. Pembaruan ini menjadi langkah krusial mengingat eksploitasi kerentanan telah terdeteksi berlangsung di lingkungan nyata, bukan sekadar uji laboratorium.

Dalam pernyataan resminya, Adobe mengakui bahwa mereka “menyadari adanya eksploitasi aktif terhadap CVE-2026-34621 di dunia nyata.” Pernyataan ini mempertegas urgensi pembaruan, terutama bagi organisasi dan individu yang masih menggunakan versi perangkat lunak yang rentan. Eksploitasi aktif menunjukkan bahwa pelaku ancaman telah mengembangkan metode serangan yang memanfaatkan celah tersebut sebelum patch tersedia secara luas.

Temuan awal terkait eksploitasi kerentanan ini diungkap oleh Haifei Li, seorang peneliti keamanan sekaligus pendiri EXPMON. Ia mengidentifikasi bahwa celah tersebut dapat dimanfaatkan untuk menjalankan kode JavaScript berbahaya ketika pengguna membuka dokumen PDF yang telah dimodifikasi. Mekanisme serangan ini relatif sederhana dari perspektif pengguna akhir, karena hanya memerlukan interaksi berupa membuka file, tanpa indikasi mencurigakan yang jelas.

Lebih lanjut, indikasi menunjukkan bahwa eksploitasi terhadap celah ini kemungkinan telah berlangsung sejak Desember 2025. Jika dikonfirmasi, hal ini berarti terdapat jendela waktu yang cukup panjang di mana sistem rentan dapat disusupi tanpa disadari. Dalam konteks keamanan siber, periode eksploitasi sebelum patch tersedia sering kali menjadi fase paling berbahaya, karena pengguna tidak memiliki mitigasi resmi selain langkah pencegahan manual.

Perubahan skor CVSS dari sebelumnya 9,6 menjadi 8,6 juga mencerminkan penyesuaian dalam vektor serangan. Adobe memperbarui parameter dari Network (AV:N) menjadi Local (AV:L), yang berarti eksploitasi memerlukan interaksi pengguna secara langsung, seperti membuka file berbahaya. Meskipun demikian, dampaknya tetap signifikan karena vektor distribusi PDF berbahaya dapat dilakukan melalui berbagai saluran, termasuk email phishing, unduhan situs tidak terpercaya, atau distribusi melalui platform berbagi file.

Dalam analisis yang dipublikasikan oleh EXPMON, disebutkan bahwa kerentanan ini tidak hanya terbatas pada kebocoran informasi, tetapi berpotensi mengarah pada eksekusi kode arbitrer. Hal ini memperluas spektrum ancaman, dari sekadar pencurian data menjadi pengambilalihan sistem secara penuh. Temuan ini juga konsisten dengan observasi peneliti keamanan lain yang memantau aktivitas eksploitasi dalam beberapa hari terakhir sebelum pengumuman resmi dari Adobe.

Dari perspektif teknis, prototype pollution merupakan kelas kerentanan yang sering kali sulit dideteksi dalam aplikasi berbasis JavaScript yang kompleks. Dengan memanipulasi prototipe objek global, penyerang dapat mengubah perilaku aplikasi secara tidak terduga. Dalam konteks Acrobat Reader, ini membuka kemungkinan injeksi kode yang dieksekusi dalam runtime aplikasi, sehingga melewati beberapa mekanisme perlindungan tradisional.

Adobe telah menyediakan beberapa metode pembaruan bagi pengguna untuk mengatasi risiko ini. Pengguna individu dapat memperbarui perangkat lunak melalui menu “Help” dan memilih “Check for Updates,” sementara sistem juga dapat diperbarui secara otomatis jika fitur pembaruan diaktifkan. Untuk lingkungan enterprise, administrator TI disarankan menggunakan metode distribusi terpusat seperti SCCM, GPO, atau Apple Remote Desktop untuk memastikan seluruh endpoint diperbarui secara konsisten.

Pembaruan ini menegaskan pentingnya manajemen patch yang disiplin, terutama untuk perangkat lunak yang digunakan secara luas seperti Acrobat Reader. Dalam banyak kasus, PDF dianggap sebagai format yang relatif aman oleh pengguna awam, padahal secara teknis dapat menjadi vektor serangan yang efektif jika terdapat celah pada engine pemrosesnya.

Kasus CVE-2026-34621 juga mencerminkan pola yang semakin umum dalam lanskap ancaman modern, di mana eksploitasi zero-day terjadi sebelum vendor merilis patch resmi. Hal ini menempatkan organisasi dalam posisi reaktif, di mana deteksi dini dan respons insiden menjadi faktor kunci dalam meminimalkan dampak.

Dengan adanya bukti eksploitasi aktif, pembaruan terhadap perangkat lunak bukan lagi sekadar rekomendasi, melainkan kebutuhan mendesak. Sistem yang tidak diperbarui berisiko menjadi titik masuk bagi serangan lanjutan, termasuk penyebaran malware, pencurian data sensitif, atau bahkan kompromi jaringan secara menyeluruh.

Dalam konteks yang lebih luas, insiden ini kembali menyoroti pentingnya kolaborasi antara vendor dan komunitas peneliti keamanan. Adobe secara khusus memberikan kredit kepada Haifei Li atas pelaporan kerentanan ini, yang menunjukkan peran krusial peneliti independen dalam mengidentifikasi dan mengungkap celah sebelum disalahgunakan secara lebih luas.

Seiring meningkatnya kompleksitas perangkat lunak modern, potensi munculnya kerentanan serupa tetap tinggi. Oleh karena itu, pendekatan proaktif terhadap keamanan, termasuk pembaruan rutin, pemantauan aktivitas mencurigakan, dan edukasi pengguna, menjadi elemen penting dalam mempertahankan ketahanan sistem terhadap ancaman yang terus berkembang.

Kenapa Akun Instagram Bisa Diambil Alih atau di Hack? Ini Penyebab dan Cara Mencegahnya - 2026

2026 makin banyak orang kehilangan akun Instagram karena kena hack, dan ironisnya, banyak yang tidak tahu penyebabnya. Ternyata, mayoritas peretas tidak pakai teknik rumit, lho. Mereka cuma memanfaatkan kecerobohan kita sebagai pengguna. Intinya, ancaman paling nyata bukan cuma soal teknologi canggih, tapi lebih kepada kebiasaan digital kita yang masih kurang aman.

Jangan remehkan kekuatan password! Penggunaan kombinasi yang mudah ditebak, seperti tanggal lahir, mempermudah peretas membobol akun melalui teknik brute force. Tanpa kata sandi yang kuat, akun Anda sangat rentan diakses pihak tidak bertanggung jawab hanya dalam hitungan menit.

Waspada terhadap jebakan phishing yang kian canggih! Banyak pengguna Instagram tertipu oleh halaman login palsu yang tampilannya sangat identik dengan aslinya. Pelaku memanfaatkan kelengahan korban melalui link yang disebar di DM atau email. Tanpa sadar, saat Anda mengetikkan username dan kata sandi, data Anda justru terkirim langsung ke peretas. Akibatnya, akun bisa diambil alih secara instan karena korban tidak merasa sedang dijebak.

Jangan biarkan akun Instagram Anda jadi sasaran empuk! Banyak pengguna masih mengabaikan pentingnya 2FA, padahal fitur ini adalah kunci untuk memblokir akses ilegal meskipun peretas sudah tahu password Anda. Risiko juga mengintai dari aplikasi pihak ketiga "penambah followers" yang terlihat menggiurkan. Ingat, saat Anda memberikan data login ke aplikasi tidak terpercaya, Anda secara sukarela menyerahkan kunci akun Anda kepada orang asing. Hindari aplikasi mencurigakan jika tidak ingin akun Anda hilang atau disalahgunakan.

Hati-hati saat menggunakan Wi-Fi gratis! Tanpa pengaman, data login Anda bisa disadap dengan mudah. Agar akun tetap aman, terapkan langkah Wajib Aman ini: buat password unik yang sulit ditebak, nyalakan Autentikasi Dua Faktor, dan jangan pernah tergoda klik link asing atau pakai aplikasi penambah followers ilegal. Jika terpaksa memakai Wi-Fi umum, selalu gunakan VPN. Ingat, pertahanan terbaik bukan cuma soal teknologi, tapi kebiasaan kita yang lebih teliti. Keamanan digital dimulai dari diri sendiri!

Baca Juga:

https://www.ethicalhackingindonesia.com/2026/01/jutaan-pengguna-instagram-panik-klaim.html

https://www.ethicalhackingindonesia.com/2026/03/meta-hentikan-dukungan-end-to-end.html

Analisis Kampanye APT28 2026: Eksploitasi CVE-2026-21509 dan PRISMEX Targetkan Rantai Pasok Pertahanan Ukraina dan NATO

Eskalasi ancaman siber global kini tengah memuncak melalui kampanye terbaru dari APT28 (alias Fancy Bear atau Forest Blizzard). Sejak terdeteksi pada September 2025, operasi ini menunjukkan lonjakan aktivitas pada Januari 2026 dengan fokus serangan pada infrastruktur pertahanan Ukraina serta jalur logistik bantuan militer dan kemanusiaan NATO. Agresi ini mempertegas pola serangan sistematis yang telah dijalankan kelompok tersebut sejak tahun 2014.

Aktor ancaman yang berafiliasi dengan Rusia ini kembali membuktikan kapabilitas teknisnya dalam memanfaatkan zero-day exploit. Melalui kerentanan Microsoft Office berkode CVE-2026-21509 - Base Score: 7.8 HIGH, mereka melancarkan serangan presisi terhadap sektor pemerintahan, militer, dan infrastruktur vital di Eropa Tengah serta Timur. Yang mengkhawatirkan, penyiapan infrastruktur serangan terpantau telah dimulai dua minggu sebelum celah keamanan tersebut diumumkan secara resmi, sebuah indikasi kuat adanya akses awal terhadap rincian eksploitasi.

Selain CVE-2026-21509, indikasi kuat juga mengarah pada eksploitasi kerentanan kedua, yaitu CVE-2026-21513 - Base Score: 8.8 HIGH, yang berkaitan dengan bypass fitur keamanan dalam framework MSHTML milik Microsoft. Sampel eksploitasi untuk kerentanan ini terdeteksi di platform publik sebelum patch resmi dirilis, menunjukkan adanya eksploitasi zero-day di lingkungan nyata. Pola ini memperkuat dugaan bahwa pelaku memiliki kapabilitas intelijen yang memungkinkan mereka mengakses informasi kerentanan sebelum dipublikasikan secara luas.

Rantai serangan dimulai melalui teknik spear-phishing yang menargetkan individu dalam organisasi tertentu dengan email yang tampak kredibel. Subjek email sering kali berkaitan dengan isu-isu strategis seperti peringatan hidro-meteorologi, undangan program pelatihan militer, atau laporan penyelundupan senjata. Lampiran berupa dokumen RTF berbahaya menjadi titik awal eksploitasi, di mana ketika dibuka, dokumen tersebut memicu kerentanan CVE-2026-21509.

Eksploitasi ini memungkinkan bypass terhadap mekanisme keamanan OLE dan memaksa sistem korban untuk mengakses server WebDAV eksternal. Dari sini, sistem secara otomatis mengeksekusi file shortcut berbahaya dengan ekstensi .lnk. Dalam skenario yang diduga melibatkan CVE-2026-21513, file .lnk tersebut kemudian memanfaatkan teknik manipulasi DOM dan iframe bertingkat untuk mengeksekusi payload tanpa memunculkan peringatan keamanan kepada pengguna.

Terdapat konsistensi yang jelas pada infrastruktur command-and-control (C2) di seluruh rangkaian serangan, ditandai dengan penggunaan domain komunikasi yang tumpang tindih. Temuan ini mendukung teori bahwa aktor tersebut mengintegrasikan kedua kerentanan ke dalam satu exploit chain yang kompleks. Walaupun validasi eksternal masih terbatas, keselarasan waktu dan aset infrastruktur menjadi bukti kuat adanya keterkaitan operasional.

Operasi ini mengandalkan dua jalur payload utama, di mana PRISMEX muncul sebagai rangkaian malware yang paling dominan. Dengan arsitektur modular, PRISMEX memastikan infeksi tetap bertahan di sistem secara sinkron. Malware ini juga menggunakan teknik steganografi, menyisipkan kode jahat ke dalam gambar sebagai taktik kamuflase yang sangat efektif untuk mengecoh deteksi antivirus tradisional yang tidak menduga adanya ancaman di dalam file non-eksekutif.

Komponen pertama, PrismexSheet, merupakan dropper berbasis Excel yang menggunakan macro VBA untuk mengekstrak payload tersembunyi dari dalam file. Selanjutnya, PrismexDrop bertugas menyiapkan lingkungan sistem dan membangun persistensi melalui teknik COM hijacking. Tahap berikutnya melibatkan PrismexLoader, yang menggunakan algoritma khusus bernama Bit Plane Round Robin untuk mengekstrak payload dari gambar PNG. Tahap akhir adalah PrismexStager, yang menggunakan framework open-source Covenant untuk membangun komunikasi terenkripsi dengan server C&C melalui layanan cloud yang sah.

Penggunaan Covenant dalam konteks ini bukan hal baru, namun integrasinya dengan eksploitasi kerentanan terbaru menunjukkan peningkatan signifikan dalam kecepatan adaptasi kelompok ini. Framework tersebut memungkinkan komunikasi yang terenkripsi dan fleksibel, serta mendukung eksekusi payload secara dinamis tanpa meninggalkan jejak file di sistem, sebuah pendekatan yang dikenal sebagai fileless execution.

Operasi ini mengungkap adanya integrasi dengan ekosistem malware yang lebih luas, khususnya NotDoor yang sempat dianalisis pada awal 2025. PRISMEX diidentifikasi sebagai evolusi dari kerangka kerja tersebut, yang kini memperluas jangkauannya dengan mengintegrasikan vektor infeksi melalui eksploitasi celah keamanan terbaru. Fenomena ini merefleksikan pergeseran strategi aktor ancaman yang kini memprioritaskan fleksibilitas operasional dan keberlanjutan akses jangka panjang di atas sekadar eksploitasi teknis sesaat.

Dari sisi target, kampanye ini menunjukkan fokus strategis pada rantai pasok pertahanan Ukraina. Sektor yang disasar mencakup lembaga eksekutif pusat, layanan darurat, institusi meteorologi, serta entitas militer. Data meteorologi, misalnya, memiliki peran penting dalam perencanaan operasi militer seperti penyesuaian tembakan artileri dan navigasi drone. Dengan mengakses informasi ini, pelaku dapat memperoleh keuntungan taktis di lapangan.

Di luar Ukraina, negara-negara yang berperan sebagai jalur logistik bantuan militer juga menjadi target. Polandia, sebagai hub utama transportasi darat, serta Romania, Slovenia, dan Turki yang memiliki peran dalam jalur laut dan distribusi regional, termasuk dalam cakupan serangan. Negara-negara seperti Slovakia dan Republik Ceko yang terlibat dalam dukungan logistik dan politik juga tidak luput dari perhatian.

Pemilihan target dan teknik rekayasa sosial yang digunakan menunjukkan pemahaman mendalam terhadap struktur organisasi dan pola komunikasi antar lembaga. Email yang tampak berasal dari institusi terpercaya seperti kepolisian perbatasan atau lembaga meteorologi meningkatkan kemungkinan korban membuka lampiran berbahaya. Pendekatan ini menegaskan bahwa aspek manusia tetap menjadi titik lemah utama dalam banyak serangan siber.

Laporan dari berbagai organisasi seperti CERT-UA, Zscaler ThreatLabz, dan Synaptic Systems memberikan perspektif tambahan yang memperkuat analisis terhadap kampanye ini. Masing-masing menyoroti aspek berbeda, mulai dari teknik eksploitasi hingga infrastruktur dan payload yang digunakan. Konsistensi temuan antar lembaga ini memperkuat validitas analisis dan menunjukkan skala serta kompleksitas operasi yang dijalankan.

Rangkaian serangan ini mencerminkan lonjakan kapabilitas APT28 yang kian canggih. Integrasi cepat antara kerentanan zero-day dengan sistem PRISMEX yang modular menunjukkan bahwa musuh bekerja dengan sangat terencana. Organisasi yang terhubung dengan ekosistem pertahanan Ukraina harus melihat kampanye ini sebagai peringatan serius. Strategi pertahanan kini tidak bisa lagi hanya bersifat reaktif, melainkan harus mengutamakan respons cepat dan mitigasi berlapis untuk menghadapi ancaman yang kian dinamis.

Sumber:

Ethical Hacking Indonesia

NVD-NIST

Kaspersky - Spear-Phising

CERT-UA

Zscaler ThreatLabz - APT28 Leverages CVE-2026-21509 in Operation Neusploit

Synaptic Systems - Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

FrostArmada: Eksploitasi Router dan Pembajakan DNS untuk Eksfiltrasi Kredensial Global Terungkap - DNS Hijacking

Investigasi terbaru dari Black Lotus Labs mengungkap kampanye siber berskala global yang diberi nama FrostArmada, yang dikaitkan dengan aktor ancaman Forest Blizzard. Kampanye ini menunjukkan evolusi taktik yang signifikan dalam operasi pengumpulan intelijen berbasis jaringan, dengan fokus utama pada eksploitasi perangkat edge seperti router dan manipulasi sistem Domain Name System (DNS) untuk mencuri kredensial autentikasi.

"Forest Blizzard (sebelumnya dikenal sebagai STRONTIUM) menggunakan berbagai teknik akses awal, termasuk eksploitasi kerentanan pada aplikasi yang terhubung ke internet (web-facing applications). Untuk mendapatkan kredensial, mereka memanfaatkan spear phishing serta penggunaan alat otomatis untuk serangan password spray atau brute force yang dioperasikan melalui jaringan TOR. Forest Blizzard memiliki kemahiran yang setara dalam membobol lingkungan infrastruktur lokal (on-premises) maupun yang berbasis cloud, serta menggunakan perangkat lunak kustom dan malware khusus untuk mendukung operasi tersebut" Microsoft Threat Intelligence

Forest Blizzard secara strategis memadukan inovasi baru dengan taktik klasik dalam kampanye terbarunya. Dengan mengoperasikan infrastruktur serangan milik sendiri, aktor ini secara spesifik mengincar entitas vital seperti sektor pemerintahan, diplomasi, penegakan hukum, hingga infrastruktur email pihak ketiga untuk kepentingan intelijen mereka.

Aktivitas awal kampanye ini terdeteksi sejak Mei 2025 dalam skala terbatas. Namun, eskalasi besar terjadi segera setelah National Cyber Security Centre merilis laporan berjudul Authentic Antics pada 5 Agustus 2025. Laporan tersebut mengungkap alat malware yang digunakan untuk mencuri kredensial Microsoft Office. Hanya sehari setelah publikasi laporan tersebut, para peneliti mengamati lonjakan eksploitasi router secara luas yang disertai dengan teknik pengalihan DNS. Pola ini menunjukkan kemampuan adaptasi cepat dari aktor ancaman dalam merespons eksposur publik terhadap taktik mereka.

Teknik utama FrostArmada melibatkan eksploitasi akses remote pada router MikroTik dan TP-Link guna mengalihkan resolver DNS. Manipulasi ini menyebar secara sistematis melalui DHCP ke seluruh titik akhir di jaringan lokal, memfasilitasi kontrol lalu lintas data dan eksfiltrasi informasi yang sulit terdeteksi oleh pengguna akhir.

Saat pengguna mengakses layanan login, DNS yang telah dikompromi akan membelokkan trafik ke node Attacker-in-the-Middle (AitM) yang menyamar sebagai layanan asli. Meski sering memicu peringatan sertifikat keamanan, pengguna yang mengabaikan peringatan tersebut berisiko terkena teknik break and inspect. Di sinilah aktor ancaman mencegat lalu lintas data untuk mengambil kredensial hingga token OAuth tepat setelah proses MFA selesai.

Dibandingkan menggunakan kerentanan zero-day, serangan ini lebih memilih memanfaatkan kelemahan mendasar pada sistem DNS. Dengan memanipulasi jalur lalu lintas data, aktor ancaman dapat mengumpulkan informasi rahasia secara efisien tanpa perlu melakukan peretasan langsung pada infrastruktur sistem target.

Investigasi mengungkap adanya pembagian kerja dalam kampanye ini melalui dua klaster utama. Klaster pertama, yang diidentifikasi sebagai "expansion team", bertanggung jawab untuk memperluas jangkauan infeksi dengan mengeksploitasi infrastruktur jaringan secara massal. Tim ini mengincar antarmuka web router melalui kerentanan (CVE) yang sudah ada, terutama pada perangkat usang. Selain router, perangkat seperti firewall enterprise dari Fortinet serta solusi dari vendor menengah seperti Nethesis juga menjadi target utama.

Setelah perangkat berhasil dikompromikan, lalu lintas DNS diarahkan ke server resolusi yang dikendalikan aktor, yang berfungsi seperti resolver normal namun secara selektif memanipulasi permintaan terhadap domain tertentu. Teknik ini memberikan tingkat stealth yang tinggi karena sebagian besar lalu lintas tetap berjalan normal, sehingga sulit dideteksi oleh sistem monitoring tradisional.

Salah satu temuan paling signifikan adalah kemampuan aktor untuk mengumpulkan token OAuth dari workstation dalam jaringan lokal yang terhubung ke router yang telah dikompromikan. Ini menunjukkan bahwa dampak serangan tidak terbatas pada perangkat jaringan saja, tetapi juga meluas ke endpoint pengguna tanpa eksploitasi langsung pada perangkat tersebut.

Data telemetri menunjukkan bahwa puncak aktivitas terjadi pada Desember 2025, dengan lebih dari 18.000 alamat IP unik dari setidaknya 120 negara terlibat dalam interaksi dengan infrastruktur aktor. Dalam snapshot selama satu bulan, tercatat lebih dari 290.000 alamat IP yang mengirimkan permintaan DNS ke server yang dikendalikan aktor, meskipun jumlah korban dengan tingkat kepercayaan sedang diperkirakan sekitar 18.000 berdasarkan frekuensi interaksi.

Peneliti juga mengidentifikasi beberapa node AitM utama yang digunakan dalam kampanye ini. Node pertama mulai aktif pada Mei 2025 dan menerima permintaan DNS dari entitas pemerintah Afghanistan serta firewall di Italia. Node kedua menunjukkan peningkatan aktivitas signifikan pada 6 Agustus 2025, bertepatan dengan eskalasi pasca publikasi laporan NCSC. Node ini juga mendukung DNS over TLS (DoT), yang meningkatkan kompleksitas analisis dan deteksi.

Menariknya, pola koneksi dari node AitM ke berbagai layanan email menunjukkan bahwa sebagian besar kompromi terjadi pada tingkat akun individu, bukan pada infrastruktur backend penyedia layanan. Hal ini menegaskan bahwa tujuan utama kampanye ini adalah pengumpulan intelijen melalui akses email, bukan sabotase sistem secara langsung.

Forest Blizzard sendiri dikenal sebagai aktor yang terkait dengan Unit 26165 dari GRU Rusia (Fancy Bear). Mereka memiliki rekam jejak panjang dalam operasi siber, termasuk serangan password spraying terhadap layanan Microsoft pada 2021 dan pergeseran ke spear phishing pada 2023 ketika adopsi multi-factor authentication meningkat. Dalam kampanye sebelumnya, mereka juga menggunakan alat seperti “NotDoor” untuk memperdalam akses ke sistem target.

Kampanye FrostArmada menunjukkan bahwa meskipun teknik serangan berevolusi, tujuan strategis aktor tetap konsisten, yaitu memperoleh akses terhadap komunikasi sensitif. Adaptasi cepat terhadap eksposur publik menunjukkan tingkat kematangan operasional yang tinggi dan kemungkinan besar aktivitas serupa akan terus berlanjut dengan metode yang dimodifikasi.

Sebagai respons terhadap temuan ini, peneliti telah menambahkan indikator kompromi (IOC) ke dalam sistem deteksi mereka untuk melindungi pelanggan/pengguna/user mereka. Organisasi yang beroperasi di sektor pemerintah, pertahanan, logistik, dan IT disarankan untuk meningkatkan hardening sistem, memantau aktivitas akun secara ketat, serta memastikan semua perangkat jaringan diperbarui dan tidak menggunakan perangkat yang sudah end-of-life.

Mitigasi tambahan seperti implementasi certificate pinning pada perangkat korporasi sangat krusial untuk mendeteksi anomali pada lalu lintas data. Penguatan kebijakan autentikasi serta pembatasan akses remote administratif menjadi langkah kunci dalam meminimalkan risiko serangan serupa. Kampanye FrostArmada ini menjadi peringatan keras bahwa infrastruktur edge sering kali menjadi celah yang terlupakan. Keamanan yang hanya berfokus pada endpoint tidak lagi mencukupi tanpa adanya perlindungan komprehensif pada lapisan jaringan.

Sumber:

Lumen - FrostArmada: All thriller, no (malware) filler

Ethical Hacking Indonesia - Evolusi ClickFix: Taktik DNS Staging, Lumma Stealer, dan Gelombang Malware Global yang Menargetkan Windows serta macOS 

Microsoft Threat Intelligence - Nation State Actor Forest Blizzard

National Cyber Security Centre - Malware Analysis Report AUTHENTIC ANTICS

BleepingComputer.com - Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins

MITRE-ATTCK - Adversary-in-the-Middle

Ethical Hacking Indonesia - Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Ethical Hacking Indonesia - Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

OAuth 2.0 - OAuth Access Tokens

WikiPedia - Fancy Bear

Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Gelombang serangan ransomware dengan tempo tinggi kembali menjadi perhatian setelah Microsoft Threat Intelligence mengungkap aktivitas aktor siber bermotif finansial yang dilacak sebagai Storm-1175. Kelompok ini menunjukkan pola operasi yang agresif dan sistematis, memanfaatkan celah keamanan yang baru diungkap untuk menembus sistem yang terpapar ke internet sebelum organisasi sempat menerapkan patch secara luas. Strategi tersebut menempatkan mereka dalam kategori aktor dengan kemampuan eksekusi cepat, yang mampu mengubah celah teknis menjadi insiden besar hanya dalam hitungan jam hingga beberapa hari.

"Storm-1175 bergerak sangat cepat mulai dari akses awal hingga eksfiltrasi data dan penyebaran ransomware Medusa, seringkali dalam hitungan hari dan, dalam beberapa kasus, dalam waktu kurang dari 24 jam" ungkap Microsoft Threat Intelligence.

Storm-1175 mengandalkan eksploitasi N-day, yaitu kerentanan yang telah dipublikasikan tetapi belum ditambal oleh banyak organisasi. Namun, dalam beberapa kasus, kelompok ini juga terdeteksi menggunakan zero-day kerentanan yang belum diketahui publik bahkan hingga satu minggu sebelum pengungkapan resmi. Kombinasi ini memberi mereka keunggulan signifikan dalam fase awal serangan, terutama terhadap sistem yang menghadap publik seperti server web, layanan manajemen jarak jauh, dan infrastruktur enterprise lainnya.

Setelah mendapatkan akses awal, Storm-1175 bergerak sangat cepat. Dalam banyak kasus, transisi dari eksploitasi awal ke eksfiltrasi data dan deployment ransomware dapat terjadi dalam waktu kurang dari 24 jam, meskipun sebagian serangan berlangsung selama lima hingga enam hari. Ransomware yang digunakan dalam operasi ini adalah Medusa ransomware, yang dikenal dengan model double extortion menggabungkan enkripsi data dengan ancaman kebocoran data untuk meningkatkan tekanan terhadap korban.

Dampak dari kampanye ini tidak terbatas pada satu sektor. Organisasi layanan kesehatan menjadi target utama, diikuti oleh sektor pendidikan, jasa profesional, dan keuangan. Wilayah yang terdampak signifikan meliputi Australia, Inggris, dan Amerika Serikat, menunjukkan bahwa operasi Storm-1175 memiliki cakupan global dengan fokus pada target bernilai tinggi dan kritikal.

Sejak 2023, lebih dari 16 kerentanan telah dieksploitasi oleh kelompok ini. Beberapa di antaranya mencakup sistem populer seperti Microsoft Exchange, Ivanti Connect Secure, JetBrains TeamCity, hingga SAP NetWeaver. Salah satu contoh paling mencolok adalah eksploitasi terhadap CVE-2025-31324 pada SAP NetWeaver, di mana celah tersebut dipublikasikan pada 24 April 2025 dan langsung dimanfaatkan oleh Storm-1175 sehari setelahnya.

Berikut list CVE yang kemudian digunakan oleh Storm-1175 dalam operasi serangan yang pernah mereka lakukan:

1. CVE-2023-21529 (Microsoft Exchange) - Base Score: 8.8 HIGH

"Penyerang yang terautentikasi dapat melakukan eksekusi kode jarak jauh (remote code execution) pada Microsoft Exchange Server, yang berpotensi menyebabkan penguasaan server sepenuhnya, pencurian data, serta pergerakan lateral (lateral movement) di dalam lingkungan perusahaan" yang diberitakan oleh SentinelOne

2. CVE-2023-27351 - Base Score: 8.2 HIGH dan CVE-2023-27350 - Base Score: 9.8 CRITICAL (Papercut) 

CVE-2023-27351 "Kerentanan ini memungkinkan penyerang jarak jauh untuk melewati autentikasi pada instalasi PaperCut NG 22.0.5 (Build 63914) yang terdampak." ungkap pentesttool

 CVE-2023-27350 "Setelah berhasil mengakses server, penyerang dapat memanfaatkan fitur-fitur yang ada pada perangkat lunak PaperCut untuk melakukan eksekusi kode jarak jauh (remote code execution)." ungkap peneliti CISA

3. CVE-2023-46805 danCVE-2024-21887 (Ivanti Connect Secure and Policy Secure)

4. CVE-2024-1709 and CVE-2024-1708 (ConnectWise ScreenConnect)

5. CVE-2024-27198 and CVE-2024-27199 (JetBrains TeamCity)

6. CVE-2024-57726, CVE-2024-57727, and CVE-2024-57728 (SimpleHelp)

7. CVE‑2025‑31161 (CrushFTP)

8. CVE-2025-10035 (GoAnywhere MFT)

9. CVE-2025-52691 and CVE-2026-23760 (SmarterMail)

10. CVE-2026-1731 (BeyondTrust)

Untuk Pembaca: Untuk melihat Base Score yang menjadi indikator keparahan dari sebuah vulnerabiliti bisa melalui situs CISA atau NVD.

Selain eksploitasi tunggal, Storm-1175 juga menunjukkan kemampuan chaining exploit, yaitu menggabungkan beberapa kerentanan untuk mencapai eksekusi kode jarak jauh (RCE) atau memperluas akses dalam sistem yang telah dikompromikan. Kemampuan ini memperkuat posisi mereka sebagai aktor dengan tingkat kematangan operasional yang tinggi.

Tidak hanya terbatas pada sistem berbasis Windows, Storm-1175 juga teridentifikasi menargetkan lingkungan Linux. Pada akhir 2024, eksploitasi terhadap instance rentan dari Oracle WebLogic ditemukan di berbagai organisasi, meskipun detail kerentanan spesifik yang digunakan tidak berhasil diidentifikasi. Hal ini menandakan fleksibilitas taktis kelompok tersebut dalam menghadapi berbagai arsitektur sistem.

Dalam fase pasca-kompromi, Storm-1175 mengikuti pola yang cukup konsisten. Mereka membuat web shell atau menanam payload akses jarak jauh untuk mempertahankan foothold dalam sistem. Setelah itu, mereka menciptakan akun pengguna baru dan memberikan hak administratif sebagai bentuk persistence. Akun ini kemudian digunakan untuk melakukan reconnaissance dan pergerakan lateral ke sistem lain dalam jaringan.

Untuk mempercepat pergerakan, Storm-1175 memanfaatkan teknik living-off-the-land dengan menggunakan alat bawaan sistem seperti PowerShell dan PsExec. Mereka juga menggunakan tunnel berbasis Cloudflare yang disamarkan sebagai proses sah seperti conhost.exe untuk menghindari deteksi. Jika akses Remote Desktop Protocol (RDP) tidak tersedia, mereka bahkan memodifikasi kebijakan firewall Windows untuk mengaktifkannya secara paksa.

Selain itu, kelompok ini sangat bergantung pada perangkat remote monitoring and management (RMM) untuk memperluas kontrol. Berbagai tools seperti AnyDesk, Atera RMM, dan ConnectWise ScreenConnect digunakan untuk mengelola sistem yang telah dikompromikan secara efisien dan tersembunyi.

Dalam hal pencurian kredensial, Storm-1175 memanfaatkan teknik klasik namun efektif. Mereka memodifikasi registry Windows untuk mengaktifkan caching kredensial melalui WDigest atau melakukan dump LSASS menggunakan Task Manager. Kedua teknik ini memerlukan hak administratif lokal, yang biasanya sudah mereka peroleh di tahap awal kompromi. Data yang diperoleh kemudian digunakan untuk eskalasi hak akses lebih lanjut, termasuk akses ke domain controller.

Salah satu langkah kritis dalam serangan adalah pengambilan file NTDS.dit, yaitu database Active Directory yang berisi informasi pengguna dan password yang dapat di-crack secara offline. Dengan akses ini, Storm-1175 dapat menguasai seluruh domain jaringan korban. Mereka juga memanfaatkan akses ke Security Account Manager (SAM) untuk mendapatkan kredensial tambahan.

Untuk menghindari deteksi, Storm-1175 secara aktif memanipulasi konfigurasi antivirus, termasuk mengubah pengaturan Microsoft Defender Antivirus melalui registry. Hal ini memungkinkan payload ransomware dijalankan tanpa hambatan dari mekanisme proteksi bawaan sistem.

Dalam tahap eksfiltrasi data, mereka menggunakan kombinasi alat kompresi dan sinkronisasi. File dikumpulkan menggunakan Bandizip, kemudian dikirim ke infrastruktur cloud menggunakan Rclone. Keunggulan Rclone adalah kemampuannya melakukan sinkronisasi real-time, sehingga data yang baru dibuat atau diperbarui dapat langsung diekspor tanpa interaksi manual tambahan dari penyerang.

Distribusi ransomware dilakukan dengan metode yang efisien dan luas. Storm-1175 sering menggunakan PDQ Deployer untuk menjalankan skrip seperti RunFileCopy.cmd yang menyebarkan payload Medusa ke seluruh jaringan. Dalam beberapa kasus, mereka bahkan menggunakan Group Policy untuk mendistribusikan ransomware secara massal, memanfaatkan hak istimewa tinggi yang telah diperoleh sebelumnya.

Meskipun taktik dan teknik yang digunakan Storm-1175 memiliki kemiripan dengan aktor ransomware lainnya, kecepatan dan konsistensi dalam eksekusi menjadikan mereka ancaman yang lebih sulit ditangani. Analisis terhadap aktivitas pasca-kompromi mereka memberikan wawasan penting bagi organisasi untuk memperkuat pertahanan, terutama dalam mendeteksi dan mengganggu aktivitas penyerang setelah akses awal berhasil dicapai.

Kasus ini menegaskan bahwa jendela waktu antara pengungkapan kerentanan dan penerapan patch menjadi titik kritis dalam keamanan siber modern. Organisasi yang gagal merespons dengan cepat terhadap disclosure kerentanan akan terus menjadi target empuk bagi aktor seperti Storm-1175, yang telah mengoptimalkan seluruh rantai serangan untuk memanfaatkan keterlambatan tersebut.

Baca Juga

Microsoft Threat Intelligence - Amerika-Israel dan Iran

Sumber:

Microsoft Threat Intelligence - Storm-1175

NVD-NIST

Apa Itu N-Day ?

Apa Itu Zero-Day

CISA-StopRasnwomeware

PaperCut-CVE

Laporan Terbaru: Peretas Iran Targetkan Cloud Microsoft 365 Lewat Password Spraying - 2026

Sebuah kampanye serangan siber berskala besar yang menargetkan lingkungan Microsoft 365 di Israel dan Uni Emirat Arab (UEA) terdeteksi tengah berlangsung, dengan indikasi kuat keterlibatan aktor ancaman yang memiliki keterkaitan dengan Iran. Aktivitas ini muncul di tengah meningkatnya ketegangan geopolitik di kawasan Timur Tengah, dan dinilai sebagai bagian dari upaya pengumpulan intelijen strategis oleh aktor negara.

Halini diungkap oleh Check Point Research, yang mengidentifikasi bahwa serangan dilakukan dalam tiga gelombang utama pada 3 Maret, 13 Maret, dan 23 Maret 2026. Menyatakan bahwa serangan ini menggunakan teknik password spraying, sebuah metode brute-force yang mencoba sejumlah kecil kata sandi umum terhadap banyak akun untuk menghindari deteksi berbasis threshold.

Pada tahap awal, penyerang melakukan pemindaian intensif terhadap ratusan organisasi, dengan fokus utama pada entitas yang berlokasi di Israel dan UEA. Aktivitas ini dijalankan melalui jaringan anonim seperti Tor, khususnya melalui exit nodes yang terus berubah untuk menghindari pemblokiran berbasis alamat IP. Selama proses ini, penyerang menyamarkan identitas mereka dengan menggunakan User-Agent yang meniru browser lawas seperti Internet Explorer 10, sebuah taktik yang dirancang untuk menghindari sistem deteksi modern yang lebih sensitif terhadap pola akses mencurigakan.

Ketika kredensial yang valid berhasil ditemukan, serangan memasuki fase infiltrasi. Dalam tahap ini, pelaku menggunakan alamat IP dari layanan VPN komersial seperti Windscribe dan NordVPN, yang dikonfigurasi agar tampak berasal dari lokasi geografis Israel. Pendekatan ini memungkinkan mereka untuk melewati pembatasan berbasis lokasi atau geo-restriction yang sering diterapkan dalam kebijakan keamanan organisasi.

Setelah mendapatkan akses, penyerang melanjutkan ke tahap eksfiltrasi dengan memanfaatkan kredensial yang sah untuk mengakses data sensitif, termasuk konten email pribadi. Dalam sejumlah kasus terbatas, aktivitas ini berujung pada pencurian data dari lingkungan yang telah dikompromikan. Namun, skala dan pola serangan menunjukkan bahwa tujuan utama kampanye ini lebih berfokus pada pengumpulan intelijen dibandingkan sabotase langsung. 

Serangan ini sama seperti yang pernah dilakukan oleh hacktivist kepada Iran yang di picu oleh perang Amerika-Israel bernama epic fury pada 28 Februari 2026

Microsoft mengaitkan aktivitas ini dengan kelompok ancaman negara yang dikenal sebagai Peach Sandstorm. Grup ini sebelumnya telah menargetkan sektor-sektor strategis seperti satelit, pertahanan, dan farmasi di berbagai wilayah dunia. Berdasarkan profil target dan pola aktivitas pasca-kompromi, Microsoft menilai bahwa akses awal yang diperoleh melalui kampanye ini kemungkinan digunakan untuk mendukung kepentingan intelijen negara Iran. 

Selain Peach Sandstorm, aktivitas serupa juga dikaitkan dengan entitas lain yang dikenal sebagai Gray Sandstorm, sebelumnya dilacak dengan identifier DEV-0343. Kelompok ini diketahui menggunakan teknik password spraying secara masif dengan meniru perilaku browser populer seperti Firefox dan Chrome, serta memanfaatkan jaringan proxy Tor dalam skala besar. Dalam satu organisasi, mereka dapat menargetkan puluhan hingga ratusan akun, dengan ribuan upaya autentikasi yang berasal dari ratusan hingga lebih dari seribu alamat IP unik.

Salah satu karakteristik teknis yang menonjol dari kampanye ini adalah penggunaan endpoint Microsoft Exchange seperti Autodiscover dan Exchange ActiveSync. Endpoint ini dimanfaatkan untuk enumerasi akun dan validasi kredensial, memungkinkan penyerang mempersempit target mereka secara efisien. Selain itu, ditemukan indikasi penggunaan alat otomatisasi yang memiliki kemiripan dengan tool open-source “o365spray,” yang secara khusus dirancang untuk melakukan enumerasi dan password spraying terhadap layanan Microsoft 365.

Menariknya, pola aktivitas menunjukkan bahwa puncak serangan sering terjadi antara pukul 04.00 hingga 11.00 UTC. Pola waktu ini dapat mencerminkan strategi operasional tertentu, baik untuk menghindari jam sibuk sistem keamanan maupun untuk menyesuaikan dengan zona waktu target.

Salah satu tantangan utama dalam mendeteksi dan merespons kampanye ini adalah tidak adanya indikator kompromi (IOC) yang statis. Penggunaan infrastruktur berbasis Tor dan rotasi IP yang agresif membuat pendekatan berbasis blacklist menjadi kurang efektif. Oleh karena itu, pendekatan deteksi berbasis perilaku menjadi krusial, termasuk analisis terhadap pola login yang tidak biasa, lonjakan traffic dari jaringan anonim, serta aktivitas enumerasi yang mencurigakan.

Microsoft mencatat bahwa dalam kasus di mana autentikasi berhasil dilakukan, aktor ancaman menggunakan kombinasi alat publik dan kustom untuk melakukan eksplorasi jaringan, mempertahankan akses (persistence), dan bergerak lateral di dalam sistem korban. Meskipun hanya sebagian kecil insiden yang berujung pada eksfiltrasi data, potensi risiko dari aktivitas pasca-kompromi tetap signifikan, terutama jika menyasar infrastruktur kritikal atau data sensitif.

Dalam konteks yang lebih luas, kampanye ini mencerminkan evolusi taktik aktor negara dalam operasi siber. Alih-alih mengandalkan eksploitasi zero-day yang kompleks, pendekatan seperti password spraying menawarkan efektivitas tinggi dengan kompleksitas relatif rendah, terutama ketika dikombinasikan dengan teknik penghindaran deteksi yang canggih.

Microsoft menyatakan bahwa mereka secara langsung memberi notifikasi kepada pelanggan yang menjadi target atau korban kampanye ini, serta menyediakan panduan untuk mengamankan akun dan infrastruktur mereka. Langkah ini menjadi bagian dari upaya yang lebih luas untuk meningkatkan kesadaran terhadap tradecraft terbaru yang digunakan oleh aktor ancaman negara.

Dengan meningkatnya volume aktivitas dan persistensi upaya akses terhadap target, organisasi yang menggunakan Microsoft 365 diimbau untuk memperkuat postur keamanan mereka. Ini mencakup penerapan autentikasi multi-faktor, pemantauan log secara aktif, serta deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola serangan seperti password spraying.

Kampanye ini memperlihatkan bahwa dalam tipe ancaman saat ini, serangan tidak selalu bergantung pada kerentanan teknis tingkat tinggi. Kredensial yang lemah dan praktik keamanan yang tidak konsisten tetap menjadi titik masuk utama bagi aktor ancaman yang terorganisir dengan baik dan memiliki sumber daya besar.

Baca Juga:

Amerika-Israel-Iran 

Email Direktur FBI Di Hack Iran

Sumber:

Check Point research

Tor Project

WindSribe

NordVPN

ATTCK-MITRE

Microsoft-Threat-Intelligence 1

Microsoft-Threat-Intelligence 2 

GitHub 

Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

Fortinet mengonfirmasi adanya eksploitasi aktif terhadap kerentanan kritis pada FortiClient Enterprise Management Server (EMS), yang memungkinkan penyerang tanpa autentikasi untuk mengeksekusi perintah atau kode secara tidak sah melalui permintaan yang dirancang secara khusus. Kerentanan ini diklasifikasikan sebagai masalah improper access control dengan referensi CWE-284, yang berdampak langsung pada mekanisme autentikasi dan otorisasi dalam sistem.

Menurut informasi resmi, kerentanan ini telah diamati dieksploitasi secara langsung di lingkungan nyata atau di Internet secara bebas, yang menandakan bahwa risiko bukan lagi bersifat teori atau informasi biasa. Penyerang dapat memanfaatkan celah ini untuk mengakses fungsi administratif tanpa kredensial, membuka jalur bagi eksekusi perintah berbahaya dari jarak jauh. Dalam konteks infrastruktur enterprise, kondisi ini berpotensi mengarah pada kompromi penuh terhadap sistem manajemen endpoint.

Fortinet merespons dengan merilis hotfix khusus untuk pengguna FortiClient EMS versi 7.4.5 dan 7.4.6. Patch ini dirancang untuk menutup celah keamanan secara cepat tanpa menunggu rilis versi mayor berikutnya. Perusahaan juga mengonfirmasi bahwa perbaikan permanen akan tersedia dalam versi 7.4.7 yang akan datang. Untuk sementara, penerapan hotfix yang tersedia disebut cukup untuk sepenuhnya memitigasi risiko eksploitasi.

Versi yang terdampak secara spesifik mencakup FortiClient EMS 7.4.5 hingga 7.4.6, sementara versi 7.2 dinyatakan tidak terpengaruh. Di sisi lain, kerentanan berbeda yang terkait dengan SQL Injection juga diidentifikasi pada versi 7.4.4 (tenable). Kerentanan ini, yang terdaftar sebagai CVE-2026-21643, memiliki tingkat keparahan tinggi dengan skor CVSS 9.8 berdasarkan penilaian dari Fortinet. Eksploitasi dilakukan melalui permintaan HTTP yang dirancang khusus, memungkinkan eksekusi kode tanpa autentikasi.

Dalam kerentanan SQL Injection tersebut, kelemahan terjadi akibat improper neutralization terhadap elemen khusus dalam perintah SQL, yang dikategorikan dalam CWE-89. Dengan memanfaatkan celah ini, penyerang dapat menyisipkan query berbahaya ke dalam sistem backend, yang pada akhirnya memungkinkan akses tidak sah ke database, manipulasi data, hingga eksekusi perintah sistem.

Fortinet menegaskan bahwa eksploitasi terhadap kerentanan SQL Injection ini juga telah terdeteksi di lingkungan nyata. Hal ini memperkuat urgensi bagi organisasi untuk segera melakukan pembaruan sistem ke versi yang telah diperbaiki. Pengguna FortiClient EMS 7.4.4 disarankan untuk segera melakukan upgrade ke versi 7.4.5 atau yang lebih baru guna menutup celah tersebut. (di konoha keknya tunggu kesebar dulu xixixi)

Selain merilis patch, Fortinet juga memberikan panduan teknis terkait penerapan hotfix. Paket hotfix ini hanya mencakup subset dari binary EMS yang relevan dengan permasalahan tertentu, sehingga dapat mengurangi risiko efek samping yang tidak diinginkan. Pendekatan ini memungkinkan distribusi patch dilakukan dengan cepat tanpa mengganggu stabilitas sistem secara keseluruhan.

Proses penerapan hotfix melibatkan beberapa tahap teknis, termasuk pengunduhan paket dari portal dukungan Fortinet, transfer file ke server EMS menggunakan protokol seperti SCP atau SFTP, serta eksekusi perintah khusus melalui antarmuka command line. Pada lingkungan berbasis Linux atau virtual appliance, administrator perlu mengakses sistem melalui SSH dan menjalankan perintah untuk menerapkan patch secara langsung.

Selama proses instalasi, sistem akan melakukan serangkaian langkah seperti verifikasi checksum, ekstraksi paket, pencadangan file lama, serta penggantian komponen yang terdampak. Dalam beberapa kasus, layanan tertentu seperti apache2 akan dihentikan sementara untuk memastikan integritas proses pembaruan. Selain itu, skrip tambahan dapat dijalankan untuk memperbarui konfigurasi sistem atau melakukan perubahan pada database internal.

Setelah proses selesai, administrator dapat memverifikasi status hotfix melalui perintah khusus yang menampilkan daftar patch yang telah diterapkan. Status “applied” menjadi indikator bahwa pembaruan telah berhasil diinstal dan sistem telah terlindungi dari kerentanan yang ditangani oleh patch tersebut.

Kasus ini kembali menyoroti pentingnya respons cepat terhadap kerentanan yang telah dieksploitasi secara aktif. Dalam banyak insiden, jeda waktu antara publikasi kerentanan dan penerapan patch menjadi faktor kritis yang menentukan tingkat dampak terhadap organisasi. Dengan adanya eksploitasi tanpa autentikasi, risiko terhadap sistem yang belum diperbarui menjadi sangat tinggi.

Di sisi lain, penggunaan hotfix sebagai solusi sementara mencerminkan pendekatan pragmatis dalam manajemen kerentanan. Alih-alih menunggu siklus rilis reguler, vendor dapat memberikan mitigasi cepat untuk menutup celah yang sedang dimanfaatkan. Namun, organisasi tetap disarankan untuk melakukan upgrade ke versi stabil terbaru setelah tersedia, guna memastikan perlindungan jangka panjang.

Dengan dua kerentanan berbeda yang sama-sama memungkinkan eksekusi kode tanpa autentikasi, FortiClient EMS menjadi target yang signifikan dalam lanskap ancaman saat ini. Kombinasi antara access control bypass dan SQL Injection memberikan fleksibilitas bagi penyerang untuk memilih vektor serangan yang paling sesuai dengan kondisi target.

Bagi organisasi yang menggunakan FortiClient EMS sebagai bagian dari infrastruktur keamanan endpoint, langkah mitigasi tidak dapat ditunda. Audit sistem, pembaruan versi, serta pemantauan aktivitas mencurigakan menjadi langkah penting untuk memastikan tidak adanya kompromi lebih lanjut. Dalam konteks serangan yang telah terjadi di alam liar, asumsi bahwa sistem telah menjadi target bukan lagi berlebihan, melainkan pendekatan defensif yang realistis.

Sumber:

FortinetGuard

Tenable

NVD-NIST

CWE-MITRE

36 Paket Berbahaya di NPM Menyamar sebagai Plugin Strapi, Targetkan Infrastruktur Kripto dengan Eksploitasi Redis dan PostgreSQL

Sebuah kampanye berbahaya yang terstruktur dan terarah telah terungkap di ekosistem NPM, di mana sedikitnya 36 paket ditemukan menyamar sebagai plugin untuk Strapi CMS. Paket-paket ini tidak sekadar berisi kode berbahaya biasa, tetapi dirancang dengan berbagai payload kompleks yang mampu mengeksploitasi Redis dan PostgreSQL, mencuri kredensial sensitif, hingga menanam implant persisten pada sistem korban. Temuan ini menunjukkan adanya operasi yang matang dengan tujuan spesifik, yakni menargetkan infrastruktur platform pembayaran berbasis cryptocurrency.

Secara kronologis, aktivitas publikasi paket dimulai dengan akun umar_bektembiev1 yang merilis gelombang awal, termasuk paket seperti strapi-plugin-cron dan varian lain yang memiliki kemampuan eksploitasi tingkat lanjut. Dalam waktu beberapa jam, paket-paket lain menyusul dari akun berbeda seperti umarbek1233, kekylf12, dan tikeqemif26. Pola publikasi yang saling tumpang tindih serta konsistensi teknik serangan menunjukkan bahwa seluruh akun tersebut kemungkinan dikendalikan oleh aktor yang sama.

Setiap paket membawa fungsi spesifik dalam rantai serangan. Misalnya, strapi-plugin-cron memanfaatkan teknik eksploitasi Redis melalui perintah CONFIG SET untuk menyuntikkan entri crontab, menulis webshell berbasis PHP, serta menjalankan reverse shell berbasis Node.js. Selain itu, paket ini juga mencoba menyisipkan kunci SSH ke dalam authorized_keys serta membaca data mentah dari disk menggunakan kombinasi mknod dan dd untuk mengekstrak informasi sensitif.

Paket lain seperti strapi-plugin-config memperluas kemampuan serangan dengan mencoba melakukan escape dari container Docker melalui analisis overlay filesystem. Dengan menemukan direktori upperdir, payload dapat ditulis ke lokasi yang dapat diakses host. Teknik ini memungkinkan penyerang melampaui isolasi container dan mengakses sistem yang lebih luas. Tidak hanya itu, paket ini juga membaca data mentah untuk menemukan kredensial Elasticsearch serta wallet kripto, kemudian menyisipkan hook berbahaya ke dalam node_modules.

Serangkaian paket lain seperti strapi-plugin-server, strapi-plugin-database, hingga strapi-plugin-hooks difokuskan pada eksekusi reverse shell secara langsung. Menariknya, payload ini menggunakan mekanisme gating berbasis hostname, hanya aktif jika sistem target mengandung string tertentu seperti “prod”. Hal ini menunjukkan bahwa serangan dirancang untuk menghindari deteksi di lingkungan pengujian atau sandbox. Reverse shell dijalankan melalui bash pada port 4444 dan Python pada port 8888, serta dapat dipicu melalui Redis.

Eksfiltrasi data menjadi komponen utama dalam kampanye ini. Paket seperti strapi-plugin-events dan strapi-plugin-monitor dirancang untuk mengumpulkan kredensial dalam skala besar. Mereka menelusuri file .env, variabel lingkungan, konfigurasi Strapi, serta file sistem untuk menemukan private key, token Kubernetes, dan informasi jaringan. Data yang dikumpulkan mencakup koneksi PostgreSQL, isi Redis, hingga informasi Docker dan Kubernetes, yang semuanya dikirim ke server command-and-control menggunakan HTTP tanpa enkripsi.

Teknik eksfiltrasi yang digunakan juga menunjukkan tingkat kecanggihan tertentu. Salah satu varian payload menerapkan metode chunking, memecah data besar menjadi segmen 50KB untuk menghindari batasan ukuran atau deteksi. Setiap bagian dikirim dengan penomoran tertentu, memungkinkan rekonstruksi data secara lengkap di sisi server penyerang. Jalur komunikasi C2 menggunakan path berbasis routing seperti /c2/<id>/env untuk file lingkungan atau /c2/<id>/redis-full untuk dump Redis.

Eksploitasi terhadap PostgreSQL dilakukan secara langsung dalam paket seperti strapi-plugin-seed. Dengan menggunakan kredensial hardcoded, paket ini dapat terhubung ke database, mengekstrak tabel yang berkaitan dengan transaksi, wallet, dan deposit, serta melakukan enumerasi terhadap seluruh database dalam server. Bahkan terdapat probing spesifik terhadap nama database seperti guardarian, guardarian_payments, exchange, dan custody, yang memperkuat indikasi bahwa serangan ini menargetkan platform tertentu secara spesifik.

Aspek persistence juga menjadi perhatian utama dalam kampanye ini. Versi tertentu dari strapi-plugin-api menanamkan agen C2 persisten ke dalam sistem dengan menulis file seperti /tmp/.node_gc.js dan menjalankannya secara terpisah. Selain itu, entri crontab ditambahkan untuk memastikan payload tetap aktif meskipun sistem direstart. Teknik fileless execution juga digunakan melalui perintah node -e, yang memungkinkan eksekusi kode tanpa meninggalkan artefak file yang jelas.

Semua data yang dicuri, termasuk private key, mnemonic wallet, dan kredensial lainnya, dikirim melalui HTTP ke alamat IP 144.31.107.231 pada port 9999 tanpa enkripsi. Hal ini berarti bahwa data sensitif dapat dengan mudah diintersepsi jika lalu lintas jaringan dipantau, namun juga menunjukkan bahwa fokus utama penyerang adalah kecepatan dan volume eksfiltrasi, bukan stealth tingkat jaringan.

Indikasi kuat bahwa ini adalah penargetan yang dilakukan terlihat dari referensi spesifik terhadap infrastruktur tertentu dalam payload, termasuk path direktori, nama layanan, serta kredensial database yang sudah diketahui sebelumnya. Hal ini menandakan bahwa penyerang kemungkinan telah memiliki akses awal atau intelijen sebelumnya terhadap target, bukan sekadar melakukan serangan acak terhadap ekosistem NPM.

Hal ini juga bersamaan dengan lonjakan serangan yang kemudian menargetkan ekosistem sumber terbuka atau Open Source melalui rantai serangan:

1. user atau pengguna GitHub dengan nama ezmtebo teridentifikasi mengirim lebih dari 256 pull request yang telah disisipi payload pencurian kredensial. Teknik yang digunakan memanfaatkan log CI/CD serta komentar pada pull request untuk mengekstrak secret dari lingkungan pengembangan tanpa memicu kecurigaan langsung.

2. Organisasi GitHub dev-protocol dilaporkan mengalami pengambilalihan akun dan dimanfaatkan untuk mendistribusikan bot trading Polymarket berbahaya. Paket tersebut mengandalkan dependency npm dengan teknik typosquatting untuk mencuri private key wallet serta membuka akses backdoor melalui SSH.

3. Paket Emacs kubernetes-el/kubernetes-el menjadi korban kompromi melalui eksploitasi celah pada workflow GitHub Actions yang dikenal sebagai Pwn Request. Serangan ini memungkinkan pelaku mendapatkan GITHUB_TOKEN milik repository, yang kemudian digunakan untuk menyisipkan kode destruktif ke dalam proyek.

4. Workflow GitHub Actions milik proyek xygeni/xygeni-action berhasil ditembus setelah kredensial maintainer dicuri. Akses ini dimanfaatkan untuk menanamkan backdoor berupa reverse shell. Setelah insiden tersebut, pihak Xygeni telah melakukan penguatan kontrol keamanan pada sistem mereka.

5. Paket npm mgc disusupi melalui pengambilalihan akun maintainer, yang kemudian digunakan untuk merilis versi berbahaya. Versi ini mengandung dropper yang mengunduh payload sesuai platform, yakni trojan berbasis Python untuk Linux dan varian PowerShell untuk Windows. Pola serangan ini memiliki kemiripan dengan kampanye supply chain sebelumnya yang menargetkan Axios dan dikaitkan dengan aktor UNC1069 yang di sinyalir dari Korea Utara.

6. Sebuah paket npm berbahaya dengan nama express-session-js ditemukan meniru paket populer "express-session". Paket ini berfungsi sebagai dropper yang mengunduh remote access trojan (RAT), membuka akses jarak jauh ke sistem korban.

7. Paket PyPI bittensor-wallet versi 4.0.2 diketahui telah dimodifikasi untuk menyisipkan backdoor. Payload ini secara khusus dirancang untuk mengekstrak private key dari wallet pengguna.

8. Paket npm @azure/service-bus-node mengandung komponen berbahaya berupa dropper yang mengambil RAT dari layanan JSON Keeper. Malware ini digunakan untuk mencuri data sekaligus mempertahankan akses persisten dengan membangun koneksi ke alamat IP 216.126.237[.]71 melalui library Socket.IO.

Dampak dari serangan ini sangat signifikan. Sistem yang terinfeksi dapat mengalami kompromi penuh, termasuk akses root, kebocoran data sensitif, serta pengambilalihan layanan. Oleh karena itu, setiap pengguna yang pernah menginstal paket-paket tersebut disarankan untuk menganggap sistem mereka telah sepenuhnya dikompromikan.

Langkah mitigasi yang direkomendasikan mencakup rotasi seluruh kredensial yang mungkin terekspos, termasuk password database, API key, dan JWT secret. Password PostgreSQL yang digunakan dalam payload harus segera diganti jika masih digunakan. Token Kubernetes juga perlu dicabut untuk mencegah penyalahgunaan lebih lanjut. Selain itu, sistem harus diperiksa untuk mekanisme persistence seperti file mencurigakan di direktori /tmp, entri crontab yang tidak dikenal, serta proses node yang berjalan tanpa konteks jelas.

Audit terhadap Redis juga diperlukan, khususnya dengan memeriksa konfigurasi direktori melalui perintah CONFIG GET dir untuk memastikan tidak ada manipulasi. Penggunaan alat keamanan seperti pemindai dependency dapat membantu mendeteksi paket berbahaya sebelum mencapai lingkungan produksi. Pencegahan di tahap instalasi menjadi krusial mengingat serangan ini memanfaatkan kepercayaan terhadap ekosistem open-source.

Kasus ini menegaskan kembali bahwa supply chain attack di ekosistem JavaScript masih menjadi ancaman nyata, terutama bagi proyek yang mengandalkan banyak dependency eksternal. Dengan kompleksitas payload dan tingkat target yang spesifik, kampanye ini menunjukkan evolusi serangan yang tidak lagi bersifat oportunistik, melainkan dirancang dengan presisi tinggi untuk mencapai tujuan tertentu.

Sumber:

safedep

stepsecurity

xygeni

PyPi

cyberandramen

Baca Juga:

Claude Code Repo