Ada Serangan Siber Berbasis Informasi GitHub, Quora, dan Jejaring Sosial

Jakarta, ID – Kaspersky telah mendeteksi serangkaian serangan siber kompleks yang melibatkan pengambilan informasi dari layanan sah, seperti GitHub, Microsoft Learn Challenge, Quora, dan jejaring sosial.

Para penyerang melakukannya untuk menghindari deteksi dan menjalankan rantai eksekusi untuk meluncurkan Cobalt Strike Beacon, sebuah alat untuk mengendalikan komputer dari jarak jauh, menjalankan perintah, mencuri data, dan mempertahankan akses persisten dalam jaringan.

Serangan tersebut telah terdeteksi pada paruh kedua 2024 di berbagai organisasi di Tiongkok, Jepang, Malaysia, Peru, dan Rusia, dan berlanjut hingga tahun 2025. Mayoritas korban perusahaan besar hingga menengah.

“Meskipun kami tidak menemukan bukti, penyerang menggunakan profil media sosial orang sungguhan,” kata Kepala Tim Analis Malware di Kaspersky Maxim Starodubov, dikutip InfoDigital.co.id, Senin (4/8/2025).

Menurut dia, semua akun dibuat khusus untuk serangan siber. Sementara itu, tidak ada yang menghentikan pelaku ancaman untuk menyalahgunakan berbagai mekanisme yang tersedia di platform tersebut.

Misalnya, rangkaian konten berbahaya dapat di-posting di kolom komentar pada postingan pengguna yang sah.

Pelaku ancaman siber pun menggunakan metode yang semakin kompleks untuk menyembunyikan alat yang sudah lama dikenal.

“Karena itu, penting untuk selalu mengikuti perkembangan intelijen ancaman terbaru agar terlindungi dari serangan semacam itu,” imbuhnya.

Modus Operandi

Sementara itu, untuk menyusup ke perangkat korban, para penyerang mengirimkan e-mail spear phishing yang disamarkan sebagai komunikasi sah dari perusahaan-perusahaan besar milik negara, khususnya di sektor minyak dan gas.

Teks tersebut dirangkai sedemikian rupa, sehingga tampak seperti ada minat terhadap produk dan layanan organisasi korban untuk meyakinkan penerima agar membuka lampiran berbahaya tersebut.

Lampiran tersebut berupa arsip yang tampak seperti berkas PDF berisi persyaratan untuk produk dan layanan yang diminta. Tetapi, beberapa PDF tersebut sebenarnya berkas EXE dan DLL yang dapat dieksekusi dan berisikan malware.

Para penyerang memanfaatkan teknik pembajakan DLL dan mengeksploitasi Crash Reporting Send Utility sah, yang awalnya dirancang untuk membantu pengembang mendapatkan laporan kerusakan yang terperinci dan real-time untuk aplikasi.

Agar berfungsi, malware  juga mengambil dan mengunduh kode yang disimpan di profil publik pada platform populer yang sah untuk menghindari deteksi.

Kaspersky menemukan kode terenkripsi di dalam profil di GitHub, dan tautan ke sana (juga terenkripsi) di profil GitHub lainnya, Microsoft Learn Challenge, situs web Tanya Jawab, dan bahkan, platform media sosial Rusia. Semua profil dan halaman dibuat khusus untuk serangan siber.

Setelah kode berbahaya dieksekusi pada mesin korban, Cobalt Strike Beacon diluncurkan, dan sistem korban pun terinfeksi.

Panduan Keamanan

Sementara itu, Kaspersky menyarankan organisasi agar mengikuti panduan keamanan berikut agar tetap aman dari ancaman serangan model tersebut.

1. Lacak status infrastruktur digital dan pantau perimeternya secara terus-menerus.

2. Gunakan solusi keamanan yang terbukti untuk mendeteksi dan memblokir malware yang tertanam dalam email massal.

3. Latih staf untuk meningkatkan kesadaran keamanan siber.

4. Amankan perangkat perusahaan dengan sistem komprehensif yang mendeteksi dan memblokir serangan sejak dini. (bdm)