Setiap tahun, penyedia solusi keamanan, termasuk Sophos, mengikuti evaluasi MITRE ATT&CK Enterprise, sebuah simulasi serangan siber skala penuh berdasarkan aktor ancaman nyata dan taktik, teknik, serta prosedur (TTP) mereka. Evaluasi ini menilai kemampuan deteksi dan perlindungan solusi keamanan dalam menghadapi serangan end-to-end—mulai dari akses awal, pergerakan lateral, hingga pencurian data dan dampak serangan.
Tahun 2025 menandai partisipasi Sophos yang kelima kalinya, dan laporan tahun ini membawa nuansa unik dengan referensi Game of Thrones, sekaligus menekankan realistis dan kedalaman skenario yang diuji. Mari kita lihat beberapa temuan penting dari dua skenario utama yang diuji oleh MITRE:
Skenario 1: Aktor Ancaman Siber Cybercrime – SCATTERED SPIDER
Skenario pertama meniru kelompok cybercrime berbasis keuangan SCATTERED SPIDER (GOLD HARVEST), terkenal karena ransomware, pemerasan, dan serangan terhadap perusahaan besar di berbagai negara. Evaluasi ini meliputi seluruh rantai serangan, termasuk pivot dari lingkungan lokal ke infrastruktur cloud.
Akses Awal dan Phishing
Serangan dimulai dengan spearphishing ke pengguna “tlannister” menggunakan email yang tampak sah dari domain organisasi, lengkap dengan tautan ke situs Adversary-in-the-Middle (AiTM). Ketika korban masuk, penyerang berhasil mencuri kredensial dan cookie sesi SSO. Cookie ini memungkinkan penyerang mengakses berbagai aplikasi tanpa otentikasi ulang, termasuk AWS console.
Penemuan dan Eksplorasi
Dari sesi RDP di host lokal, penyerang menjalankan perintah discovery standar, termasuk enumerasi Active Directory dan perangkat. Mereka juga menggunakan ADExplorer untuk melihat grup admin domain, serta mengakses shared drive Z:\ yang berisi diagram arsitektur jaringan—mirip dengan perilaku SCATTERED SPIDER di dunia nyata.
Penyerang bahkan membuat aturan inbox untuk menghapus email terkait AirByte, alat ETL yang digunakan untuk mengekstraksi data. Hal ini menunjukkan perencanaan cermat untuk menghindari deteksi.
Pergerakan Lateral dan Persistensi
Dengan kredensial yang dicuri, penyerang mengakses sistem cloud AWS, melakukan enumerasi layanan (S3, EC2, IAM) dan menjalankan perintah jarak jauh menggunakan AWS Systems Manager. Mereka membuat user IAM baru dengan hak admin, lalu menggunakan fitur federasi AWS untuk mengakses console, serta men-deploy instance EC2 baru sebagai bastion host dengan Sophos EDR terpasang.
Koleksi dan Eksfiltrasi Data
Data dikumpulkan menggunakan wstunnel untuk membuat terowongan WebSocket yang melewati firewall dan menggunakan AirByte untuk memindahkan data dari sistem Gitlab dan Wekan ke bucket S3 milik penyerang. Selanjutnya, data ditransfer menggunakan CyberDuck, menunjukkan kombinasi metode cloud dan on-premise untuk eksfiltrasi.
Evaluasi ini menegaskan bahwa Sophos XDR mampu mendeteksi aktivitas kunci, seperti cookie replay, AWS console enumeration, penggunaan Systems Manager untuk remote command execution, dan pengambilan data dari S3.
Skenario 2: Aktor Ancaman Berbasis China – MUSTANG PANDA
Skenario kedua meniru aktor MUSTANG PANDA (BRONZE PRESIDENT), berfokus pada spionase dan pencurian informasi. Evaluasi ini terdiri dari dua sub-skenario:
-
ORPHEUS: mencakup seluruh rantai serangan dari akses awal hingga eksfiltrasi. Malware yang digunakan mirip dengan TONESHELL.
-
PERSEUS: menekankan akses awal, pengumpulan, dan eksfiltrasi data.
Skenario ini menunjukkan penggunaan VSCode tunneling dan backdoor canggih, meniru teknik yang telah diamati di kampanye spionase nyata terhadap entitas pemerintah di Asia Tenggara. Sophos XDR menyoroti kemampuan deteksi aktivitas lateral, penggunaan malware, dan exfiltrasi data secara real-time.
Pelajaran Penting dari Evaluasi
-
Simulasi realistis meningkatkan kesiapsiagaan
MITRE menggunakan TTP yang terverifikasi dari laporan intelijen publik. Ini memastikan skenario mencerminkan ancaman nyata, termasuk pergerakan lateral ke cloud dan penyalahgunaan sistem identitas. -
Deteksi dan respons berlapis penting
Sophos XDR berhasil mendeteksi langkah-langkah penting penyerang: mulai dari cookie replay, aktivitas AWS, instalasi Tactical RMM, hingga transfer data ke S3. Hal ini menunjukkan nilai EDR yang terintegrasi dengan monitoring cloud. -
Kombinasi alat open-source dan proprietary
Penyerang menggunakan ADExplorer, trufflehog, jecretz, Tactical RMM, wstunnel, AirByte, CyberDuck, dan berbagai teknik evasive. Evaluasi menunjukkan bahwa deteksi modern harus menggabungkan telemetri endpoint, cloud, dan jaringan. -
Cloud bukan jaminan keamanan
Meski AWS memiliki kontrol bawaan, penyerang mampu melakukan remote command execution dan eksfiltrasi melalui fitur yang sah, menekankan pentingnya monitoring cloud dan IAM governance.
Kesimpulan
Evaluasi MITRE ATT&CK Enterprise 2025 membuktikan bahwa ancaman modern bersifat multi-domain, adaptif, dan canggih, menggabungkan phishing, cloud pivot, dan eksfiltrasi tersembunyi. Sophos XDR menunjukkan kemampuan deteksi dan respons menyeluruh, mengamankan baik endpoint on-premise maupun cloud.
Bagi profesional TI dan keamanan siber, pelajaran kunci adalah:
-
Integrasikan endpoint, cloud, dan identity monitoring untuk visibilitas penuh.
-
Terapkan deteksi perilaku dan respon otomatis untuk menangani teknik evasive modern.
-
Latih tim dengan skenario realistis agar dapat merespons serangan yang menyerupai ancaman nyata.
Tahun 2025 menegaskan satu hal: Siap atau tidak, ancaman canggih akan datang dari berbagai arah—dan solusi keamanan modern harus mampu bergerak cepat dan adaptif, sama seperti SCATTERED SPIDER dan MUSTANG PANDA.
Sophos XDR, dengan deteksi yang tepat dan integrasi cloud-endpoint, memberikan kepercayaan diri dan kesiapsiagaan bagi organisasi yang ingin menghadapi ancaman canggih di dunia nyata.
Lindungi jaringan Anda sekarang — karena setiap detik berarti.
Jika Anda membutuhkan rencana respons insiden yang matang atau briefing teknis terkait ancaman terbaru, kami siap membantu membangun strategi pertahanan yang kokoh dan efektif.
- Ingin tahu bagaimana Sophos dapat memperkuat keamanan jaringan Anda dengan teknologi terkini?
- Hubungi Sophos Indonesia atau
- Konsultasikan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.
Tim kami siap menghadirkan solusi keamanan terbaik, memastikan sistem Anda tetap aman, tangguh, dan siap menghadapi segala ancaman siber.
Ambil langkah sekarang dan amankan jaringan Anda sebelum ancaman muncul.
