Jakarta, PCplus – Pada awal 2025, Acronis Threat Research Unit (TRU) mengungkap kampanye cyber-espionage yang dilakukan oleh SideWinder Advanced Persistent Threat (APT). Serangan ini menargetkan institusi pemerintahan dan militer di Sri Lanka, Bangladesh, dan Pakistan. Beberapa target utama termasuk Divisi 55 Angkatan Darat Sri Lanka dan Bank Sentral Sri Lanka (CBSL).
Baca Juga: EQT X Siap Akuisisi Acronis
Serangan ini dilakukan melalui spear phishing, dengan email berisi lampiran Word dan RTF berbahaya. Dokumen tersebut mengeksploitasi dua celah keamanan lama di Microsoft Office, yaitu CVE-2017-0199 dan CVE-2017-11882. Meskipun telah diperbaiki bertahun-tahun lalu, celah ini masih efektif terhadap sistem yang belum diperbarui.
Teknik Canggih yang Digunakan SideWinder
Setelah dokumen berbahaya dibuka, serangan berlanjut dengan rantai intrusi multi-tahap. Teknik yang digunakan meliputi:
- Shellcode-based loaders untuk memuat malware secara tersembunyi.
- Server-side polymorphism yang memungkinkan pengiriman payload secara dinamis.
- StealerBot, malware pencuri kredensial yang memungkinkan akses jangka panjang ke sistem korban.
Strategi ini menunjukkan peningkatan dalam metode serangan SideWinder dibandingkan kampanye sebelumnya. Target yang dipilih juga mencerminkan tujuan strategis kelompok ini. Divisi 55 Angkatan Darat Sri Lanka semakin memperkuat keamanan sibernya, menjadikannya target menarik bagi peretas. Sementara itu, CBSL berperan penting dalam kebijakan moneter dan keuangan negara, sehingga menjadi sasaran utama dalam serangan ini.
Langkah Pencegahan dan Rekomendasi Keamanan
Untuk meningkatkan peluang keberhasilan, SideWinder menggunakan email phishing yang disesuaikan dengan targetnya. Mereka juga membuat domain palsu yang menyerupai organisasi resmi. Domain ini diperbarui secara berkala, dengan 34 domain baru terdaftar pada Januari 2025, 24 pada Februari, dan 10 pada April.
Acronis TRU merekomendasikan langkah-langkah berikut bagi organisasi di sektor publik, khususnya di Asia Selatan untuk menghadapi SideWinder:
- Segera perbarui celah keamanan CVE-2017-0199 dan CVE-2017-11882.
- Audit infrastruktur untuk mendeteksi shellcode-based loaders.
- Gunakan sistem deteksi ancaman canggih yang mampu mengenali payload polymorphic dan geofenced.
Dengan meningkatnya ancaman siber, penting bagi organisasi untuk memperkuat pertahanan digital dan mengadopsi teknologi keamanan terbaru. Acronis TRU terus berkomitmen untuk mengidentifikasi dan menganalisis ancaman siber, serta memberikan informasi yang dapat membantu organisasi melindungi aset digital mereka.
Jika kamu ingin tahu lebih lanjut, kamu bisa membaca laporan lengkapnya di sini.