Serangan modern tidak lagi bergantung pada eksploitasi klasik berbasis vulnerability tunggal, melainkan memanfaatkan trust abuse dan living-off-the-land techniques. Kampanye yang dianalisis ini menunjukkan bagaimana trojanized binary yang tampak legitimate digunakan sebagai entry point untuk membangun foothold secara stealthy. Dengan menyamarkan payload sebagai aplikasi populer seperti PDF reader, attacker mengeksploitasi asumsi kepercayaan user terhadap software yang familiar, sehingga tahap initial execution hampir tidak menimbulkan suspicion.
Baca Juga Tentang: Living-off-the-land (Storm-1175 dan Cloud Intrusions)
Bagaimana Serangan Ini Bisa Terjadi?
Secara teknis, inti dari serangan ini terletak pada modifikasi control flow binary melalui hijacking fungsi _security_init_cookie. Ini bukan sekadar patch entry point biasa, melainkan pendekatan yang lebih subtle karena memanfaatkan fase inisialisasi keamanan program. Saat fungsi ini dialihkan, loader (varian TOSHIS) mulai mengeksekusi payload tanpa mengubah struktur utama aplikasi secara signifikan. Hal ini membuat deteksi berbasis signature atau static integrity check menjadi lebih sulit, terutama jika hanya bergantung pada metadata seperti certificate atau PDB path yang masih terlihat valid.
Loader kemudian membangun environment eksekusi dengan teknik stack string construction untuk menghindari deteksi berbasis string scanning. API resolution menggunakan hashing (Adler-32) juga menghilangkan kebutuhan import table yang eksplisit, mengurangi indikator statis. Setelah itu, komunikasi ke staging server dilakukan untuk mengambil dua komponen: decoy PDF dan shellcode. Menariknya, shellcode didekripsi menggunakan AES-128 CBC dengan key derivation berbasis MD5 dari seed statis, yang menunjukkan trade-off antara simplicity dan operational security dari sisi attacker.
Tahap berikutnya adalah deployment AdaptixC2 Beacon yang telah dimodifikasi. Di sinilah aspek yang lebih strategis muncul: penggunaan GitHub sebagai command-and-control channel. Dengan memanfaatkan GitHub Issues API, attacker effectively mengubah platform publik menjadi covert C2 infrastructure. Teknik ini masuk dalam kategori supply chain abuse dan trusted service proxying, karena traffic ke GitHub secara default dianggap benign dalam banyak environment enterprise.
Baca Juga Tentang: AdaptixC2
Beacon bekerja dengan membuat session key berbasis pseudo-random generator (RtlRandomEx), lalu mengenkripsi komunikasi menggunakan RC4. Namun, desain parsing yang menggunakan substring matching alih-alih JSON parser membuka insight menarik: reliability dikorbankan demi footprint yang ringan. Ini juga menciptakan edge case dimana command bisa dieksekusi oleh semua agent tanpa filtering agent ID, khususnya pada task tertentu seperti file exfiltration. Dari perspektif pentester, ini menunjukkan potensi misconfiguration dalam C2 logic yang bisa dimanfaatkan untuk hijacking command flow jika akses ke repo didapatkan.
Skenario eksploitasi realistis dapat terjadi ketika attacker berhasil mengirim spear-phishing dengan attachment executable yang menyamar sebagai dokumen strategis. Setelah korban menjalankan file, loader akan silently deploy beacon dan membuka decoy untuk menghindari kecurigaan. Dalam beberapa menit, attacker sudah memiliki akses awal dan mulai melakukan reconnaissance seperti enumerasi network (arp /a, net view). Jika target dianggap bernilai tinggi, attacker akan escalate ke persistent access menggunakan scheduled tasks dan menginstall VS Code CLI.
Penggunaan VS Code tunnel adalah bagian paling menarik sekaligus berbahaya. Alih-alih membuka reverse shell tradisional yang mudah dideteksi, attacker menggunakan fitur resmi untuk membuat remote development tunnel. Ini secara efektif mengaburkan aktivitas malicious sebagai aktivitas developer normal. Dalam konteks identity attack, ini juga berarti attacker bisa mengikat akses ke akun GitHub tertentu, menciptakan persistence berbasis identity daripada sekadar host-based persistence.
Dampaknya jauh melampaui sekadar compromise endpoint. Dengan kombinasi GitHub C2 dan VS Code tunnel, attacker mendapatkan channel komunikasi yang resilient, encrypted, dan sulit dibedakan dari traffic normal. Selain itu, penggunaan public infrastructure mengurangi kebutuhan attacker untuk maintain server sendiri, sekaligus menyulitkan attribution dan takedown. Dalam skenario enterprise, ini bisa berkembang menjadi lateral movement, credential harvesting, hingga data exfiltration skala besar tanpa triggering traditional IDS/IPS.
Bagaimana Mitigasi Hal Ini?
Mitigasi terhadap serangan seperti ini tidak bisa hanya mengandalkan antivirus atau signature-based detection. Pendekatan yang lebih efektif adalah behavior-based monitoring, terutama pada anomali seperti eksekusi binary dari lokasi tidak umum, penggunaan API GitHub dalam konteks non-development, serta invocation VS Code CLI di endpoint non-developer. Validasi integritas binary harus dilakukan secara runtime, bukan hanya berdasarkan certificate. Selain itu, outbound traffic ke layanan publik seperti GitHub dan ipinfo perlu dianalisis secara kontekstual, bukan langsung di-whitelist.
Dari perspektif praktisi keamanan, kampanye ini menunjukkan pergeseran paradigma: attacker tidak lagi menyerang sistem, tetapi menyatu dengan sistem. Teknik seperti ini akan semakin umum karena memanfaatkan blind spot dalam trust model organisasi. Fokus ke depan harus bergeser ke visibility, telemetry, dan korelasi aktivitas lintas layer, bukan hanya patching vulnerability individual.
Benediktus Sava - Security - Researcher
Sumber:
