Peneliti keamanan mengungkap adanya kampanye serangan siber yang memanfaatkan kerentanan kritis pada SolarWinds Web Help Desk (WHD) untuk menyusup ke sistem korban dan menyalahgunakan berbagai tool sah untuk tujuan berbahaya. Serangan ini menargetkan setidaknya tiga organisasi dan mengombinasikan eksploitasi celah keamanan dengan teknik persistensi tingkat lanjut.
Aktivitas mencurigakan tersebut terdeteksi oleh tim Huntress Security dan diyakini telah berlangsung sejak pertengahan Januari. Para penyerang diketahui memanfaatkan dua kerentanan kritis pada SolarWinds WHD yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi.
Celah Kritis Jadi Pintu Masuk
Dua kerentanan yang dieksploitasi dalam serangan ini memungkinkan penyerang memperoleh kendali penuh atas sistem target tanpa perlu kredensial. Salah satu celah tersebut sebelumnya telah ditandai sebagai aktif dieksploitasi, sehingga meningkatkan risiko bagi organisasi yang menjalankan instans SolarWinds WHD yang terekspos ke internet.
Peneliti juga mencatat bahwa pola intrusi serupa telah diamati pada sistem WHD yang dapat diakses publik, menunjukkan adanya upaya sistematis dalam mengeksploitasi infrastruktur yang belum diperbarui.
Penyalahgunaan Tool Sah untuk Aktivitas Jahat
Setelah memperoleh akses awal, penyerang menginstal perangkat lunak pemantauan dan manajemen jarak jauh yang sah melalui paket instalasi MSI. Tool ini dikonfigurasi untuk akses tanpa pengawasan dan digunakan untuk aktivitas langsung di sistem, termasuk pemetaan Active Directory dan pengendalian host secara penuh.
Selanjutnya, penyerang menyebarkan Velociraptor, sebuah platform digital forensik dan respons insiden yang sah, namun dalam konteks ini disalahgunakan sebagai sarana command-and-control. Komunikasi dengan infrastruktur penyerang dilakukan melalui layanan Cloudflare, sehingga lalu lintas berbahaya tersamarkan sebagai koneksi sah.
Menariknya, versi Velociraptor yang digunakan merupakan rilis lama yang memiliki kelemahan eskalasi hak akses, memungkinkan penyerang meningkatkan privilese di sistem korban.
Teknik Persistensi dan Penghindaran Deteksi
Untuk memastikan akses berkelanjutan, penyerang memasang Cloudflared sebagai jalur akses cadangan berbasis tunnel. Pada beberapa kasus, persistensi juga dicapai melalui tugas terjadwal yang membuka backdoor berbasis SSH.
Selain itu, mekanisme keamanan bawaan Windows seperti antivirus dan firewall dimodifikasi melalui registri sistem agar tidak menghalangi pengunduhan payload tambahan. Setelah perlindungan dinonaktifkan, penyerang segera mengunduh perangkat lunak tambahan untuk memperluas kendali dan fleksibilitas operasional mereka.
Rekomendasi Mitigasi
Administrator sistem sangat disarankan untuk segera memperbarui SolarWinds Web Help Desk ke versi terbaru, membatasi atau menutup akses antarmuka administrasi dari internet publik, serta melakukan reset kredensial yang terkait dengan layanan tersebut. Pemantauan aktivitas mencurigakan yang melibatkan instalasi MSI senyap, penggunaan tunnel, dan eksekusi skrip terenkripsi juga menjadi langkah penting untuk mendeteksi intrusi serupa.
Hingga kini, belum ada atribusi resmi terhadap kelompok ancaman tertentu. Namun, serangan ini menunjukkan tren meningkatnya penyalahgunaan tool sah dalam operasi siber, yang membuat aktivitas berbahaya semakin sulit dibedakan dari penggunaan normal.