Home Vulnerabilities Cloud Intrusions: Murky/Genesis/Glacial Panda & Taktik Menyusup Cloud (2025) + Cara Bertahan (2025)

Cloud Intrusions: Murky/Genesis/Glacial Panda & Taktik Menyusup Cloud (2025) + Cara Bertahan (2025)

Admin Agustus 23, 2025
Admin

 

Image by <a href="https://pixabay.com/users/thedigitalartist-202249/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6842560">Pete Linforth</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6842560">Pixabay</a>

Cloud Intrusions: Murky/Genesis/Glacial Panda & Taktik Menyusup Cloud (2025) + Cara Bertahan

Ringkasan Eksekutif

Tiga kelompok berjejaring China—Murky Panda (alias Silk Typhoon/Hafnium), Genesis Panda, dan Glacial Panda—menunjukkan evolusi serangan ke kontrol plane cloud dan rantai pasok TI. Polanya mencakup eksploitasi perangkat menghadap internet, pemanfaatan SOHO device sebagai exit node, peretasan tenant dan service principal di Entra ID, pengambilan kredensial via Instance Metadata Service (IMDS), hingga pemasangan backdoor OpenSSH pada sistem Linux telekomunikasi. Tujuan utamanya: akses berkelanjutan, pergerakan lateral, dan pengumpulan intelijen dengan jejak serendah mungkin.

1) Murky Panda: Menyusup Lewat Relasi Tepercaya di Cloud

Fokus utama Murky Panda adalah menyalahgunakan hubungan tepercaya antar organisasi dan tenant cloud. Kelompok ini cepat memanfaatkan N-day maupun zero-day untuk akses awal—khususnya pada appliances yang terekspos internet. Mereka juga diduga menguasai perangkat SOHO di negara target untuk menyamarkan sumber lalu lintas.

Teknik awal & muatan pasca-kompromi

  • Eksploitasi celah pada Citrix NetScaler ADC/Gateway (CVE-2023-3519) dan Commvault (CVE-2025-3928).
  • Penempatan web shell (mis. neo-reGeorg) untuk persistensi.
  • Dropper menuju CloudedHope (ELF 64-bit, Golang) yang berperan sebagai RAT sederhana, dilindungi anti-analysis, timestomping, dan pembersihan jejak.
Murky Panda mengompromi pemasok dari entitas Amerika Utara, memanfaatkan hak admin pemasok ke tenant Entra ID korban untuk menambah akun backdoor sementara, lalu memodifikasi service principal yang berkaitan dengan manajemen Active Directory dan surel. Fokus operasi tampak diarahkan untuk memperoleh akses email tingkat tinggi.

Implikasi: Relasi B2B/mitra integrator dan pengaturan delegated admin pada cloud kini menjadi permukaan serang kritikal. Jika tidak dibatasi ketat, tenant dapat menjadi pivot ke korban hilir.

2) Genesis Panda: Menguasai Kontrol Plane Cloud

Aktif setidaknya sejak Januari 2024, Genesis Panda beroperasi lintas 11 negara dengan target keuangan, media, telekomunikasi, dan teknologi. Pola khasnya: kompromi sistem berhosting cloud untuk memanfaatkan kontrol plane sebagai media lateral movement, persistensi, dan enumerasi.

Ciri teknis yang menonjol
  • Kuiri IMDS pada mesin berhosting cloud untuk memperoleh kredensial sementara kontrol plane serta parameter jaringan/instans.
  • Penggunaan kredensial dari VM yang telah jatuh untuk memperdalam akses pada akun cloud korban.
  • Eksploitasi luas pada web-facing vulns; eksfiltrasi data cenderung terbatas—mengindikasikan peran initial access broker bagi operasi intelijen lanjutan.

3) Glacial Panda: Fokus Telekomunikasi & Linux

Aktivitas negara-bangsa di sektor telekomunikasi meningkat tajam (≈130% dalam setahun), dan Glacial Panda menjadi salah satu aktor yang menargetkannya lintas Asia, Amerika, dan Afrika. Mereka membidik Linux—termasuk distro legacy yang menopang teknologi telko generasi lama.

Rantai serangan & persistensi
  • Akses awal lewat celah lama/konfigurasi lemah pada server menghadap internet, diikuti eskalasi hak dengan Dirty COW (CVE-2016-5195) dan PwnKit (CVE-2021-4034).
  • Penggunaan living-off-the-land untuk menyamarkan aktivitas.
  • Pemasangan komponen OpenSSH bertrojan (ShieldSlide) guna memanen sesi autentikasi dan kredensial. Varian sshd bertrojan ini menerima kata sandi hardcoded untuk mengautentikasi akun apa pun—termasuk root—sebagai pintu belakang.

4) Kenapa Ini Penting untuk Organisasi di Indonesia

  • Rantai pasok TI lokal semakin terhubung ke SaaS/global CSP; akses delegated admin mitra perlu pengendalian ketat.
  • Telekomunikasi, finansial, media, teknologi—empat sektor yang banyak beroperasi di Indonesia—termasuk sasaran utama.
  • Kerja jarak jauh memperbanyak SOHO device yang dapat disalahgunakan sebagai exit node atau foothold.
  • Fokus musuh pada email dan identitas berarti IAM/IdP adalah mahkota yang harus dijaga.

5) Playbook Deteksi (Defensif, Tanpa Eksploit)

Identitas & Entra ID / M365
  • Audit akun baru/sementara, perubahan Service Principal, consent aplikasi, dan rotasi secret/certificate yang tidak biasa.
  • Pantau sign-in dari alamat IP/ASN consumer (indikasi SOHO) dan perubahan kebijakan Conditional Access di luar jam kerja.
  • Telusuri akses eDiscovery/mailbox berisiko tinggi.

Kontrol plane & cloud workload

  • Deteksi kueri berulang ke IMDS dan permintaan metadata dari proses yang tidak semestinya.
  • Alert untuk pembuatan akses programmatic mendadak (IAM user/service account/API key) dan role binding bern privilese.
Host Linux (khusus telko & server publik)
  • Verifikasi integritas /usr/sbin/sshd, modul PAM, dan paket OpenSSH (bandingkan hash terhadap repositori resmi).
  • Periksa anomali timestomp pada file penting, setuid/setcap mencurigakan, dan jejak eksploit Dirty COW/PwnKit.
  • Hunt untuk artefak web shell dan proses Go ELF yang tidak dikenal.
Jaringan
  • Profilkan trafik keluar ke IP residensial di negara target, domain baru berumur pendek, atau beaconing berinterval stabil.

6) Prioritas Hardening (Rencana 30–60–90 Hari)

30 hari
  • Patch segera perangkat NetScaler/Commvault dan sistem EoL; nonaktifkan directory listing & port manajemen publik.
  • Audit semua delegated admin lintas tenant; terapkan PIM/JIT dan break-glass yang diawasi.
  • Wajibkan MFA kuat + phishing-resistant untuk admin dan layanan.
60 hari
  • Terapkan kebijakan Conditional Access berbasis perangkat/konteks; batasi cross-tenant access dan persetujuan aplikasi.
  • Paksa IMDS v2 (atau setara) dan batasi akses metadata dari kontainer/pod yang tidak memerlukan.
  • Implementasi File Integrity Monitoring dan golden image verifikasi untuk host kritikal.
90 hari
  • Key/secret rotation terjadwal untuk Service Principal/IAM, serta kill switch untuk akses pemasok.
  • Segmentasi jaringan + kontrol e-gress berbasis policy, bukan daftar statis.
  • Latih table-top exercise insiden tenant cloud (skenario: backdoor SP, mailbox exfil).

7) Respons Insiden (Jika Ada Indikasi Kompromi)

  1. Isolasi jalur pemasok/akun aplikasi berisiko; suspend akses sementara.
  2. Preservasi forensik: snapshot VM/log, memory capture pada host penting.
  3. Eradikasi: cabut SP/aplikasi berbahaya, ganti secret/cert, keluarkan token aktif.
  4. Penyembuhan: hardening ulang kebijakan identitas, validasi integritas SSH/OpenSSH, patch ulang semua perangkat.
  5. Pemulihan & pembelajaran: post-mortem teknis, perbaikan kontrol, dan threat sharing.
Garis bawahnya: operasi modern Murky/Genesis/Glacial Panda memindahkan titik berat pertahanan dari sekadar endpoint ke identitas dan kontrol plane cloud. Keamanan Indonesia perlu menutup celah pada relasi mitra, IMDS, dan akses terkelola lintas tenant. Dengan monitoring identitas yang ketat, hardening cloud berlapis, dan kebersihan Linux yang disiplin, peluang mempertahankan visibilitas dan menekan dwell time meningkat drastis.

Admin

Share this

Add Comments


EmoticonEmoticon

Langganan: Posting Komentar (Atom)