US Cyber Command: Awas Ancaman Siber Lewat Celah Outlook
Outlook. | Foto: freppik.com
Washington, Cyberthreat.id – Komando Siber Amerika Serikat (US Cyber Command) mengeluarkan peringatan melalui Twitter, Selasa (2 Juli 2019) terkait dengan ancaman siber di jaringan pemerintah.
Ancaman tersebut berupa penyalahgunaan celah keamanan (bug) pada aplikas Outlook. Kerentanan itu ditemukan pada CVE-2017-11774, yang terakhir ditambal (patch) Microsoft pada Oktober 2017.
Meksi akun Twitter US Cyber Command tidak menyebut kelompok peretas tertentu yang menargetkan AS, peneliti keamanan siber mengaitkan malware itu dengan peretas APT33.
Bug Outlook ditemukan oleh peneliti keamanan SensePost dan dilaporkan pada September 2017. Pada 2018 bug itu dipakai oleh peretas Iran, yang diduga mendapatkan dukungan pemerintah: APT33 (Elfin).
Pada akhir Desember 2018, peretas ATP33 menggunakan kerentanan itu untuk menyebarkan backdoors di server web. Selanjutnya, mereka menggunakannya untuk mengeksploitasi CVE-2017-1174 ke kotak masuk pengguna sehingga mereka dapat menginfeksi sistem dengan malware.
Setelah pelaku memiliki kredensial (nama pengguna dan sandi), mereka mengidentifikasi Outlook Web Access (OWA) or Office 365 yang dapat diakses publik dan tidak dilindungi dengan autentikasi multifaktor.
Serangan terhadap kerentanan CVE-2017-11774 itu muncul bersamaan dengan munculnya laporan tentang malware penghapus disk, Shamoon, alat peretas lain yang diduga buatan ATP33. Namun, sejauh ini tudingan itu belum terbukti.
Peneliti Chronicle Security, Brandon Levene, mengatakan, sampel malware yang diunggah oleh US Cyber Command tampaknya berkaitan pada aktivitas Shamoon, yang sebelumnya menyebar pada Januari 2017.
“Tiga dari lima sampel malware itu adalah alat yang dipakai untuk memanipulasi server web yang dieksploitasi,” kata Levene seperti dikutip dari ZDNet, yang diakses Rabu (3 Juli 2019). Sementara dua sampel lain, kata dia, adalah pengunduh yang menggunakan PowerShell untuk memuat PUPY RAT.
Dua pekan lalu, CISA, badan keamanan siber Departemen Keamanan Dalam Negeri AS juga mengeluarkan serupa tentang peningkatan aktivitas dari peretas Iran, terutama penggunaan malware penghapus disk, Shamoon.
Menurut Levene, ini kali pertama US Cyber Command membagikan malware non-Rusia melalui Twitter-nya. Lembaga ini mulai menerbitkan sampel malware di VirusTotal dan mengeluarkan peringatan sejak September 2018.
