Penipuan Hacker untuk Menjalankan Perintah PowerShell Berbahaya di Windows

2025-02-13 14:30:38 | Sumber : https://cyberpress.org/hackers-trick-users-into-running-malicious-powershell-commands/

 

Pada tanggal 12 Februari 2025, Microsoft Threat Intelligence mengungkapkan strategi serangan siber baru yang digunakan oleh kelompok peretas yang didukung negara asal Korea Utara, Emerald Sleet, yang juga dikenal sebagai Kimsuky atau VELVET CHOLLIMA.

Strategi Serangan

  • Teknik Rekayasa Sosial: Kelompok ini memanfaatkan teknik rekayasa sosial untuk menipu pengguna agar menjalankan perintah PowerShell berbahaya dengan hak akses administratif.

  • Impersonasi Pejabat: Penyerang berpura-pura menjadi pejabat pemerintah Korea Selatan untuk membangun kepercayaan dengan target mereka.

  • Kampanye Spear-Phishing: Setelah membangun hubungan, mereka meluncurkan kampanye spear-phishing yang berisi lampiran PDF. Lampiran ini mengarahkan korban untuk mengklik URL yang diklaim sebagai "registrasi perangkat".

  • Eksekusi Kode Berbahaya: Link tersebut memberikan instruksi rinci, mendorong pengguna untuk membuka PowerShell sebagai administrator, menempelkan potongan kode yang disediakan, dan mengeksekusinya.

Rantai Serangan

  • Setelah kode PowerShell berbahaya dieksekusi, ia mengunduh alat tambahan dari server jarak jauh, termasuk aplikasi desktop jarak jauh berbasis browser dan file sertifikat yang disematkan dengan PIN yang telah ditentukan.

  • Kode tersebut kemudian mendaftarkan perangkat korban dengan server penyerang menggunakan sertifikat dan PIN yang diunduh, memberikan Emerald Sleet akses jarak jauh ke sistem yang terkompromi.

  • Akses ini memungkinkan mereka untuk mengekstrak data sensitif dan melakukan kegiatan spionase.

Perubahan Taktik

  • Taktik ini menandai pergeseran dari metode tradisional Emerald Sleet yang sering mengandalkan backdoor dan malware seperti PebbleDash atau RDP Wrapper.

  • Pendekatan baru ini mengeksploitasi kesalahan manusia dengan memanipulasi korban untuk menginfeksi sistem mereka sendiri, sehingga dapat melewati langkah-langkah keamanan konvensional yang memantau proses otomatis.

Konteks yang Lebih Luas

  • Penggunaan PowerShell dalam serangan ini menyoroti sifat ganda alat ini sebagai alat administratif yang sah dan sebagai kendaraan untuk aktivitas berbahaya.

  • Integrasi mendalam PowerShell dengan Windows menjadikannya target menarik bagi penyerang yang mencari eksekusi perintah secara diam-diam, sehingga menghindari deteksi oleh solusi antivirus.

  • Kampanye Emerald Sleet adalah bagian dari tren yang lebih luas di antara aktor ancaman yang mengadopsi taktik serupa.

Rekomendasi Mitigasi

Microsoft merekomendasikan organisasi untuk:

  • Mengimplementasikan solusi anti-phishing canggih untuk memblokir email berbahaya.

  • Mendidik karyawan tentang cara mengidentifikasi upaya phishing dan menghindari tautan mencurigakan.

  • Membatasi akses administratif ke PowerShell dan menerapkan aturan pengurangan permukaan serangan untuk memblokir skrip berbahaya.

Kesimpulan

Taktik yang berkembang ini menekankan pentingnya kewaspadaan terhadap serangan yang direkayasa secara sosial yang mengeksploitasi kerentanan teknis dan psikologi manusia. Organisasi yang terlibat dalam sektor sensitif seperti urusan internasional, media, LSM, dan lembaga pemerintah harus memprioritaskan langkah-langkah keamanan siber yang kuat untuk melindungi diri dari kampanye yang canggih ini.