Peneliti keamanan menemukan bahwa serangkaian serangan siber yang mengeksploitasi kerentanan di Microsoft SharePoint telah dikaitkan dengan kelompok peretas asal Tiongkok. Serangan ini memanfaatkan malware ToolShell, backdoor berbahaya yang memungkinkan akses jarak jauh, eksekusi perintah, dan pengendalian penuh atas sistem yang terinfeksi.
Eksploitasi Celah SharePoint
Serangan bermula dari eksploitasi kerentanan CVE-2023-29357, sebuah celah bypass autentikasi di SharePoint yang telah diperbaiki Microsoft pada Juni 2023. Penyerang menggunakan kerentanan ini untuk mendapatkan akses awal ke server SharePoint, kemudian menyusupkan payload tahap kedua berupa PowerShell dan loader malware yang menjalankan ToolShell.
ToolShell sendiri sebelumnya digunakan dalam kampanye spionase siber yang diduga berasal dari aktor negara Tiongkok, dan kali ini kembali digunakan dalam lingkungan korporat yang belum menambal sistem mereka.
Kapabilitas ToolShell
Malware ToolShell merupakan backdoor canggih berbasis .NET yang memiliki berbagai fungsi, antara lain:
- Eksekusi perintah arbitrer
- Eksfiltrasi data
- Pencatatan input keyboard (keylogging)
- Komunikasi terenkripsi dengan server C2 (command & control)
ToolShell juga dikenal menggunakan teknik fileless dan living-off-the-land binaries (LOLBins), membuatnya sulit dideteksi oleh solusi keamanan tradisional.
Korban dan Target
Serangan ini menargetkan organisasi dari berbagai sektor, termasuk:
- Layanan keuangan
- Pemerintahan daerah
- Energi dan manufaktur
- Pendidikan dan riset
Sebagian besar korban berlokasi di Amerika Utara, Eropa, dan Asia Tenggara, dengan penyerang diduga mencari akses jangka panjang untuk aktivitas spionase dan pengumpulan intelijen strategis.
Rekomendasi Mitigasi
Microsoft dan peneliti keamanan menyarankan langkah-langkah berikut:
- Segera instal pembaruan keamanan SharePoint, khususnya untuk CVE-2023-29357
- Periksa log akses dan event anomali di sistem SharePoint
- Terapkan segmentasi jaringan dan pembatasan akses administratif
- Gunakan EDR/AV modern yang mampu mendeteksi aktivitas fileless dan PowerShell mencurigakan
Organisasi yang menemukan tanda-tanda ToolShell dalam jaringan mereka disarankan untuk melakukan isolasi sistem terdampak dan menghubungi pakar forensik siber.
Sumber: Microsoft SharePoint ToolShell attacks linked to Chinese hackers