Teknik ‘Ghost Calls’ Baru Manfaatkan Zoom dan Microsoft Teams untuk Operasi C2 Berbahaya
Peneliti keamanan siber mengungkapkan metode serangan baru bernama “Ghost Calls”, di mana pelaku ancaman menyalahgunakan platform komunikasi populer seperti Zoom dan Microsoft Teams untuk melakukan Command-and-Control (C2) operations secara tersembunyi. Teknik ini memungkinkan penyerang berkomunikasi dengan malware di sistem korban tanpa memicu deteksi konvensional oleh solusi keamanan endpoint.
Bagaimana Ghost Calls Bekerja?
Dalam skema ini, pelaku menciptakan sesi panggilan (calls) atau rapat palsu menggunakan akun Zoom atau Teams. Malware yang telah tertanam di perangkat korban akan secara pasif memonitor dan merespons sinya-sinyal tertentu yang disisipkan dalam metadata atau pesan tersembunyi dalam sesi tersebut. Karena lalu lintas berasal dari aplikasi yang sah dan terpercaya, komunikasi C2 lolos dari pantauan sistem deteksi berbasis perilaku atau signature.
Teknik ini tidak melibatkan audio atau video yang nyata — hence, disebut “ghost calls”. Tidak ada interaksi manusia, hanya lalu lintas jaringan yang dikendalikan secara remote oleh pelaku.
Keuntungan Bagi Pelaku Ancaman
- Low detection rate: Lalu lintas jaringan dari Zoom dan Teams seringkali dianggap aman dan dikecualikan dari inspeksi mendalam.
- Bypass firewall dan proxy: Aplikasi komunikasi biasanya sudah diizinkan oleh kebijakan jaringan perusahaan, memudahkan koneksi keluar masuk.
- No need for domain C2 hosting: Tidak perlu infrastruktur server C2 khusus, cukup menggunakan layanan cloud milik vendor populer.
Hal ini menjadikan ghost calls sebagai alternatif stealthy C2 channel yang sangat efektif untuk operasi Advanced Persistent Threats (APT) maupun serangan siber terarah lainnya.
Potensi Dampak dan Mitigasi
Serangan dengan teknik ghost calls berpotensi digunakan untuk:
- Ekstraksi data sensitif
- Perintah eksekusi payload tambahan
- Pembaruan konfigurasi malware secara dinamis
Untuk mitigasi, tim keamanan disarankan untuk:
- Menerapkan inspeksi mendalam terhadap lalu lintas aplikasi komunikasi cloud
- Memonitor aktivitas anomali jaringan dari host endpoint
- Melakukan whitelisting selektif terhadap penggunaan aplikasi seperti Zoom/Teams
- Menggunakan EDR/XDR yang mampu mengenali perilaku komunikasi tidak biasa dalam aplikasi sah
Lanskap Ancaman yang Kian Kreatif
Teknik Ghost Calls mencerminkan pergeseran taktik pelaku ancaman ke arah abuse terhadap layanan sah berbasis cloud sebagai sarana serangan. Karena platform seperti Zoom dan Microsoft Teams telah menjadi bagian integral dari operasi bisnis global, deteksi dan pencegahan metode ini menjadi tantangan baru bagi tim keamanan TI di berbagai sektor.
Sumber: New ‘Ghost Calls’ tactic abuses Zoom and Microsoft Teams for C2 operations
