Awas Ghostcontainer, Backdoor Targetkan Server Microsoft Exchange

Jakarta, ID – Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengungkap ada backdoor baru berbahaya berbasis perangkat lunak ilegal (malware) yang dijuluki GhostContainer.

Backdoor malware merupakan mekanisme yang memungkinkan akses tidak sah ke sistem komputer, aplikasi, atau jaringan, dan mampu melewati mekanisme keamanan standar untuk melancarkan aksi penyerang/pelaku tak terpuji.

Kaspersky, penyedia layanan konsultasi dan solusi seuriti siber asal Rusia, pun menduga penyebaran GhostContainer sebagai upaya pelaku untuk melakukan pengintaian (spionase) siber karena dilakukan tersembunyi.

“Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka terkait infiltrasi IIS dan lingkungan Exchange, serta menciptakan dan meningkatkan alat spionase canggih berdasarkan kode yang tersedia untuk umum,” ujar Sergey Lozhkin, kepala GReAT, APAC, & META, dikutip InfoDigital.co.id, Rabu (30/7/2025).

Kaspersky pun akan terus memantau aktivitas tersebut beserta cakupan dan skala serangan untuk mendapatkan pemahaman lebih baik tentang lanskap ancamannya.

Saat ini, Kaspersky menilai, GhostContainer belum dapat dikaitkan dengan kelompok pelaku ancaman mana pun karena penyerang belum mengekspos infrastruktur apa pun.

Malware tersebut menggabungkan kode dari beberapa proyek sumber terbuka yang dapat diakses publik dan dapat dimanfaatkan oleh peretas atau kelompok persisten tingkat lanjut (advanced persistent threat/APT) di seluruh dunia.

Perlu dicatat, pada akhir 2024, total terdapat 14.000 paket berbahaya telah diidentifikasi dalam proyek sumber terbuka, meningkat 48% dibandingkan akhir tahun 2023 ,  yang menyoroti meningkatnya ancaman di area tersebut.

Modus Operandi

GhostContainer merupakan malware yang sebelumnya tidak dikenal dan sangat terkustomisasi ditemukan dalam kasus respons insiden (incident response/IR), yang menargetkan infrastruktur Microsoft Exchange di ekosistem pemerintahan.

Malware ini kemungkinan merupakan bagian dari kampanye ancaman APT yang menargetkan entitas bernilai tinggi di Asia, termasuk perusahaan teknologi tinggi.

Berkas yang dideteksi oleh Kaspersky sebagai App_Web_Container_1.dll ternyata juga merupakan backdoor multifungsi canggih yang memanfaatkan beberapa proyek sumber terbuka dan dapat diperluas secara dinamis dengan fungsionalitas yang dapat diubah melalui unduhan modul tambahan.

Setelah dimuat, backdoor akan memberi penyerang kendali penuh atas server Exchange yang memungkinkan untuk menjalankan berbagai aktivitas berbahaya.

Untuk menghindari deteksi oleh solusi keamanan, GhostContainer pun menggunakan beberapa teknik penghindaran dan menampilkan dirinya sebagai komponen server yang sah untuk berbaur dengan operasi normal.

Selain itu, GhostContainer dapat bertindak sebagai proksi atau tunnel yang berpotensi mengekspos jaringan internal terhadap ancaman eksternal atau memfasilitasi eksfiltrasi data sensitif dari sistem internal.

Cara Cegah GhostContainer

Sementara itu, untuk menghindari menjadi korban serangan tertarget oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky pun merekomendasikan penerapan langkah-langkah sebagai berikut.

1. Berikan tim security operations center (SOC) akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence menjadi salah satu titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.

2. Tingkatkan keterampilan tim keamanan siber untuk mengatasi ancaman tertarget terbaru. Kspersky menyediakan pelatihan daring Kaspersky yang dikembangkan oleh para ahli GReAT.

3. Untuk deteksi, investigasi, dan remediasi insiden di tingkat titik akhir, terapkan solusi EDR, seperti Kaspersky Endpoint Detection and Response.

4. Selain mengadopsi perlindungan titik akhir yang esensial, terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di level jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.

5. Karena banyak serangan tertarget dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda. Misalnya melalui Kaspersky Automated Security Awareness Platform. (bdm)