Security

Serangan ToolShell pada Microsoft SharePoint Dikaitkan dengan Peretas Tiongkok

July 23, 2025
1 minute read
Serangan ToolShell pada Microsoft SharePoint Dikaitkan dengan Peretas Tiongkok
Serangan ToolShell pada Microsoft SharePoint Dikaitkan dengan Peretas Tiongkok

Peneliti keamanan menemukan bahwa serangkaian serangan siber yang mengeksploitasi kerentanan di Microsoft SharePoint telah dikaitkan dengan kelompok peretas asal Tiongkok. Serangan ini memanfaatkan malware ToolShell, backdoor berbahaya yang memungkinkan akses jarak jauh, eksekusi perintah, dan pengendalian penuh atas sistem yang terinfeksi.

Eksploitasi Celah SharePoint

Serangan bermula dari eksploitasi kerentanan CVE-2023-29357, sebuah celah bypass autentikasi di SharePoint yang telah diperbaiki Microsoft pada Juni 2023. Penyerang menggunakan kerentanan ini untuk mendapatkan akses awal ke server SharePoint, kemudian menyusupkan payload tahap kedua berupa PowerShell dan loader malware yang menjalankan ToolShell.

ToolShell sendiri sebelumnya digunakan dalam kampanye spionase siber yang diduga berasal dari aktor negara Tiongkok, dan kali ini kembali digunakan dalam lingkungan korporat yang belum menambal sistem mereka.

Kapabilitas ToolShell

Malware ToolShell merupakan backdoor canggih berbasis .NET yang memiliki berbagai fungsi, antara lain:

  • Eksekusi perintah arbitrer
  • Eksfiltrasi data
  • Pencatatan input keyboard (keylogging)
  • Komunikasi terenkripsi dengan server C2 (command & control)

ToolShell juga dikenal menggunakan teknik fileless dan living-off-the-land binaries (LOLBins), membuatnya sulit dideteksi oleh solusi keamanan tradisional.

Korban dan Target

Serangan ini menargetkan organisasi dari berbagai sektor, termasuk:

  • Layanan keuangan
  • Pemerintahan daerah
  • Energi dan manufaktur
  • Pendidikan dan riset

Sebagian besar korban berlokasi di Amerika Utara, Eropa, dan Asia Tenggara, dengan penyerang diduga mencari akses jangka panjang untuk aktivitas spionase dan pengumpulan intelijen strategis.

Rekomendasi Mitigasi

Microsoft dan peneliti keamanan menyarankan langkah-langkah berikut:

  • Segera instal pembaruan keamanan SharePoint, khususnya untuk CVE-2023-29357
  • Periksa log akses dan event anomali di sistem SharePoint
  • Terapkan segmentasi jaringan dan pembatasan akses administratif
  • Gunakan EDR/AV modern yang mampu mendeteksi aktivitas fileless dan PowerShell mencurigakan

Organisasi yang menemukan tanda-tanda ToolShell dalam jaringan mereka disarankan untuk melakukan isolasi sistem terdampak dan menghubungi pakar forensik siber.

Sumber: Microsoft SharePoint ToolShell attacks linked to Chinese hackers

Tags
July 23, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button