Acronis TRU Ungkap Malware Geofenced SideWinder yang Targetkan Institusi Pertahanan dan Keuangan Regional - Pada tanggal 21 Mei 2025, Acronis Threat Research Unit (TRU) mengungkap kampanye spionase siber canggih yang dilakukan oleh kelompok Advanced Persistent Threat (APT) SideWinder. Kampanye ini menyasar institusi pemerintah dan militer utama di Asia Selatan, termasuk Divisi 55 Angkatan Darat Sri Lanka dan Bank Sentral Sri Lanka, serta organisasi penting di Bangladesh dan Pakistan.
Menurut Acronis TRU, SideWinder menggunakan email spear phishing dengan lampiran Word dan RTF berisi malware yang mengeksploitasi dua kerentanan lama Microsoft Office, yaitu CVE-2017-0199 dan CVE-2017-11882. Meskipun kedua kerentanan ini telah ditemukan dan diperbaiki bertahun-tahun lalu, mereka masih efektif pada sistem yang menjalankan perangkat lunak usang.
Dokumen-dokumen tersebut dilengkapi dengan geofencing, sehingga hanya penerima di negara tertentu yang dapat mengaktifkan payload berbahaya—strategi yang membantu para penyerang menghindari deteksi secara umum dan menargetkan sasaran secara tepat.
Setelah payload terpicu, kampanye ini menjalankan rantai intrusi multi-tahap, mulai dari shellcode-based loaders, server-side polymorphism untuk pengiriman payload dinamis, hingga malware pencuri kredensial yang dikenal sebagai StealerBot. Teknik-teknik ini memungkinkan penyerang memperoleh akses berkepanjangan dan tersembunyi ke sistem yang telah dikompromikan.
Pemilihan target yang cermat mencerminkan tujuan strategis kampanye ini. Divisi 55 Angkatan Darat Sri Lanka, unit infanteri elit dengan lebih dari 10.000 prajurit yang baru-baru ini meningkatkan ketahanan siber, menjadi sasaran utama. Sementara itu, Bank Sentral Sri Lanka sebagai penjaga kebijakan moneter dan infrastruktur keuangan nasional, menjadi target vital bagi kegiatan spionase.
Untuk memaksimalkan keberhasilan aksi, SideWinder menyesuaikan email phishing agar terlihat relevan dengan penerima dan menggunakan domain palsu yang meniru organisasi resmi. Aktivitas pendaftaran domain baru untuk infrastruktur command-and-control pun meningkat tajam; Acronis mencatat 34 domain baru pada Januari 2025, diikuti 24 domain pada Februari dan 10 pada April, menandakan siklus persiapan yang intensif.
Acronis TRU mendesak organisasi sektor publik di Asia Selatan untuk segera menambal kerentanan CVE-2017-0199 dan CVE-2017-11882, melakukan audit menyeluruh terhadap infrastruktur untuk mendeteksi shellcode-based loaders, serta menerapkan sistem deteksi ancaman canggih yang mampu mengenali payload polymorphic dan geofenced.
Dengan intelijen tepat waktu dan analisis teknis mendalam, Acronis Threat Research Unit terus berkomitmen mendeteksi, menganalisis, dan mengekspos ancaman siber tingkat lanjut, guna mendukung lembaga pemerintah dan organisasi dalam mengamankan aset digital kritis mereka.
Anda mungkin suka:Perbedaan Realme 14 5G vs Realme 14T 5G, Jangan Sampai Salah Beli!
Posting Komentar