Visual Studio Disalahgunakan: Peretas Manfaatkan Akses Jarak Jauh

Visual Studio, sebuah Integrated Development Environment (IDE) dari Microsoft, dikenal sebagai alat yang sangat kuat untuk pengembangan aplikasi, terutama di bawah framework .NET. IDE ini mendukung berbagai bahasa pemrograman seperti C#, VB.NET, dan C++. Namun, baru-baru ini, tim Penelitian dan Intelijen Cyble menemukan bahwa peretas berhasil memodifikasi kode Visual Studio menjadi alat akses jarak jauh, memanfaatkan teknologi yang sah untuk tujuan jahat.

Kode Visual Studio Berubah Menjadi Alat Akses Jarak Jauh

Penemuan terbaru mengungkap kampanye serangan siber yang canggih, diawali dengan penyebaran file berbahaya berformat .LNK. File ini didistribusikan melalui email spam dengan pesan "Instalasi Berhasil" dalam bahasa Cina, yang tampak sah tetapi sebenarnya mengunduh paket Python ('python-3.12.5-embed-amd64.zip') tanpa sepengetahuan pengguna.

Saat diaktifkan, file tersebut membuat direktori di %LOCALAPPDATA%\Microsoft\Python dan mengeksekusi skrip Python yang dikaburkan ('update.py') yang diambil dari situs 'paste[.]ee'. Skrip ini, menariknya, tidak terdeteksi oleh VirusTotal, sebuah layanan pemindai malware populer, yang menunjukkan kecanggihan serangan ini. Malware ini kemudian menciptakan persistensi dengan menjadwalkan tugas bernama "MicrosoftHealthcareMonitorNode" yang berjalan setiap empat jam atau setiap kali pengguna masuk dengan hak istimewa sistem.

Jika Visual Studio Code (VSCode) tidak ditemukan di perangkat korban, malware secara otomatis mengunduh VSCode CLI dari server Microsoft untuk membangun terowongan jarak jauh. Terowongan ini menghasilkan kode aktivasi alfanumerik delapan karakter yang memungkinkan akses jarak jauh tanpa izin pengguna. Melalui skrip ini, penyerang dapat mengumpulkan berbagai informasi sistem, termasuk direktori penting seperti "C:\Program Files", "C:\Program Files (x86)", "C:\ProgramData", serta informasi tentang proses yang sedang berjalan, pengaturan bahasa sistem, lokasi geografis, nama komputer, nama pengguna, domain pengguna, dan hak istimewa pengguna.

Data yang berhasil dikumpulkan kemudian dienkripsi menggunakan Base64 dan dikirim ke server command-and-control (C&C) di 'requestrepo[.]com/r/2yxp98b3'. Taktik ini serupa dengan yang digunakan oleh kelompok Advanced Persistent Threat (APT) asal Cina yang dikenal sebagai "Stately Taurus."

Eksploitasi Akses Jarak Jauh Melalui GitHub

Setelah berhasil mengumpulkan data, para pelaku ancaman mengeksploitasi akses tidak sah dengan menggunakan sistem otentikasi GitHub. Mereka mengakses halaman otentikasi perangkat GitHub melalui 'hxxps://github[.]com/login/device' dan menggunakan kode aktivasi alfanumerik yang telah dicuri untuk mengatur koneksi terowongan VSCode. Dengan kontrol penuh atas sistem korban melalui koneksi terowongan ini, penyerang dapat mengendalikan file, direktori, dan bahkan antarmuka baris perintah (terminal) pada perangkat korban.

Melalui koneksi yang sudah disusupi, para penyerang dapat menjalankan berbagai alat peretasan yang canggih, termasuk Mimikatz untuk mengambil kredensial, LaZagne untuk memulihkan kata sandi, In-Swor untuk pengintaian sistem dan Tscan untuk pemindaian jaringan.

Tahapan Serangan

Rantai serangan dimulai dengan file .LNK berbahaya yang berisi skrip Python yang dikaburkan. Skrip ini berhasil melewati banyak langkah keamanan tradisional. Setelah akses tidak sah diperoleh, penyerang memiliki kemampuan untuk:

• Memanipulasi file dan sistem
• Mengekstrak data sensitif
• Memodifikasi konfigurasi sistem
• Menyebarkan muatan malware tambahan

Serangan ini menyoroti bagaimana alat pengembangan yang sah seperti Visual Studio Code dapat disalahgunakan oleh para pelaku ancaman dengan cara yang sangat halus, memanfaatkan rekayasa sosial dan celah teknis untuk mengambil kendali penuh atas sistem korban.

Rekomendasi untuk Mencegah Serangan

Untuk menghindari serangan semacam ini, ada beberapa langkah yang direkomendasikan:

1. Gunakan Perlindungan Titik Akhir Tingkat Lanjut: Pastikan bahwa perangkat dilengkapi dengan perangkat lunak perlindungan yang mampu mendeteksi serangan berbasis file berbahaya seperti .LNK.
2. Tinjau Tugas Terjadwal Secara Berkala: Pastikan tidak ada tugas yang mencurigakan yang terjadwal tanpa sepengetahuan pengguna. Sebagai contoh, perhatikan tugas yang dibuat oleh malware seperti "MicrosoftHealthcareMonitorNode".
3. Edukasi Pengguna tentang File dan Tautan Mencurigakan: Pengguna harus dilatih untuk mengenali tanda-tanda serangan phishing dan tidak membuka file atau tautan dari sumber yang tidak dikenal.
4. Batasi Penginstalan Perangkat Lunak dan Terapkan Daftar Putih Aplikasi: Pengguna hanya diperbolehkan menginstal perangkat lunak dari sumber yang sah, dan aplikasi yang diizinkan harus dikontrol ketat dengan daftar putih.
5. Pantau Aktivitas yang Tidak Biasa dan Tinjau Log Secara Rutin: Pemantauan yang cermat terhadap aktivitas jaringan dan file sistem dapat membantu mendeteksi aktivitas mencurigakan sebelum serangan berkembang lebih lanjut.