Di dunia siber, ancaman yang datang setiap tahun semakin canggih dan penuh tantangan. Sama halnya dengan musim dingin yang datang di akhir tahun, waktu evaluasi keamanan oleh Sophos X-Ops di MITRE ATT&CK Enterprise juga selalu menjadi perbincangan hangat. Evaluasi ini memberikan gambaran seberapa baik solusi keamanan menghadapi ancaman nyata yang terus berkembang. Pada tahun 2025, evaluasi MITRE ATT&CK ini membawa banyak kesamaan dengan drama Game of Thrones, dengan ancaman siber yang sangat menantang dan kompleks.
Sophos telah berpartisipasi dalam evaluasi ini selama lima tahun berturut-turut. Tahun ini, kami ingin memberikan wawasan mengenai bagaimana evaluasi ini dilakukan, dan seberapa realistis serta mendalam emulasi ancaman yang dijalankan. Untuk itu, kami akan membahas dua kategori ancaman utama yang dipilih MITRE, serta bagaimana Sophos berupaya memberikan perlindungan terbaik terhadap ancaman-ancaman tersebut.
Ancaman Tahun 2025: Menilai Dua Kelompok Penyerang Besar
MITRE memilih dua kelompok ancaman yang sangat terkenal dan berbahaya untuk simulasi tahun 2025. Pertama adalah SCATTERED SPIDER, kelompok penjahat dunia maya yang terutama berfokus pada pemerasan dan ransomware. Kelompok ini telah terlibat dalam berbagai serangan besar-besaran, termasuk terhadap pengecer di Inggris dan sebuah maskapai penerbangan Australia. Kedua adalah MUSTANG PANDA, kelompok yang beroperasi dari China dan berfokus pada spionase serta pencurian informasi, yang telah menargetkan banyak organisasi pemerintah dan non-pemerintah di berbagai negara sejak tahun 2012.
Emulasi SCATTERED SPIDER yang dilakukan oleh MITRE menggambarkan skenario serangan dari awal hingga akhir, termasuk akses awal, pergerakan lateral, dan eksfiltrasi data. Skala serangan ini juga melibatkan peralihan dari lingkungan on-premises ke infrastruktur cloud, yang semakin umum dilakukan oleh kelompok-kelompok kriminal dunia maya. Sementara itu, emulasi dari MUSTANG PANDA terdiri dari dua sub-skenario terpisah, dengan fokus pada akses awal, pengumpulan data, dan eksfiltrasi informasi.
Skenario 1: Ancaman Cybercriminal dengan SCATTERED SPIDER
Skenario pertama, yang melibatkan SCATTERED SPIDER, mencakup seluruh rantai serangan, mulai dari akses awal hingga eksfiltrasi data. Penyerang memulai serangannya dengan mengirim email spear-phishing yang tampaknya sah, dengan tujuan membujuk korban untuk mengklik tautan berbahaya. Email ini dirancang untuk menipu penerima agar memberikan informasi yang sangat sensitif, seperti kredensial akses tunggal (SSO). Dengan menggunakan teknik serangan Adversary-in-the-Middle (AiTM), penyerang berhasil mendapatkan akses ke akun korban dan melanjutkan pergerakan ke cloud dan sistem yang lebih sensitif.
Salah satu aspek menarik dari serangan ini adalah bagaimana penyerang memanfaatkan cloud, khususnya Amazon Web Services (AWS), yang telah menjadi sasaran utama bagi banyak kelompok kejahatan dunia maya. Penyerang menggunakan alat yang tersedia secara publik untuk mengeksplorasi layanan AWS, dan mengakses data sensitif yang ada di dalamnya. Serangan ini juga menunjukkan bahwa ancaman terhadap cloud semakin menjadi sorotan, dengan penyerang mengembangkan teknik untuk memanipulasi dan mencuri data yang tersimpan di cloud.
Lateral Movement, Persistence, dan Eksfiltrasi
Setelah memperoleh akses awal, penyerang bergerak secara lateral melalui jaringan dan mendapatkan akses ke berbagai aplikasi terintegrasi, termasuk konsol AWS. Salah satu temuan menarik adalah bagaimana penyerang bisa mengakses AWS Console tanpa otentikasi ganda (MFA), dan langsung melanjutkan untuk memprofil layanan-layanan AWS yang ada. Mereka juga membuat pengguna IAM baru dengan hak akses administratif untuk memastikan akses yang lebih luas dan berkelanjutan.
Sophos XDR mendeteksi pergerakan penyerang di AWS, mengidentifikasi beberapa kejadian yang mencurigakan, seperti login dari alamat IP yang tidak dikenal dan penggunaan AWS Systems Manager untuk mengeksekusi perintah PowerShell pada beberapa instance EC2. Dengan demikian, Sophos berhasil mengidentifikasi berbagai teknik yang digunakan oleh penyerang untuk mengumpulkan informasi penting dan mempersiapkan eksfiltrasi data.
Skenario 2: Serangan Spionase oleh MUSTANG PANDA
Skenario kedua berfokus pada MUSTANG PANDA, kelompok yang berfokus pada spionase dan pencurian data. Emulasi ini menggambarkan bagaimana penyerang menggunakan berbagai teknik untuk mendapatkan akses ke jaringan korban dan mencuri informasi sensitif. Salah satu metode yang digunakan oleh penyerang adalah HTML smuggling, di mana mereka mengirim email berisi dokumen berbahaya yang berisi tautan yang, ketika diklik, mengunduh malware ke sistem korban.
Setelah berhasil masuk, penyerang menggunakan teknik seperti DLL sideloading untuk mengeksekusi malware yang memberi mereka kontrol lebih dalam terhadap sistem yang disusupi. Mereka juga menggunakan alat komunikasi C2 (Command and Control) untuk mempertahankan komunikasi dengan server mereka dan mengumpulkan informasi sensitif yang ada di sistem korban.
Pentingnya Evaluasi MITRE ATT&CK
Evaluasi seperti yang dilakukan oleh MITRE ATT&CK memiliki peran yang sangat penting dalam membantu vendor keamanan untuk mengevaluasi dan meningkatkan kemampuan deteksi serta perlindungannya terhadap ancaman dunia maya yang semakin canggih. Dengan mengevaluasi bagaimana solusi keamanan merespons serangan yang meniru serangan nyata, evaluasi ini memberikan wawasan yang sangat berharga baik untuk vendor maupun organisasi yang mencari perlindungan terhadap ancaman dunia maya.
Melalui emulasi skenario serangan dunia nyata, Sophos dapat menunjukkan bagaimana solusi XDR (Extended Detection and Response) kami mendeteksi dan merespons serangan yang sangat terperinci dan kompleks. Misalnya, ketika penyerang mencoba untuk menggunakan alat seperti PowerShell, ADExplorer, dan AWS Systems Manager, Sophos XDR dapat mendeteksi perilaku mencurigakan ini dengan cepat, memberikan peringatan kepada tim keamanan untuk merespons lebih lanjut.
Kesimpulan: Transparansi dan Realisme
Dengan berpartisipasi dalam evaluasi MITRE ATT&CK selama lima tahun berturut-turut, Sophos terus berkomitmen untuk menawarkan solusi yang tidak hanya melindungi dari ancaman yang ada, tetapi juga mampu beradaptasi dengan ancaman yang terus berkembang. Evaluasi ini juga memberikan transparansi, memungkinkan perusahaan dan pengguna untuk menilai efektivitas solusi keamanan dengan lebih objektif dan berdasarkan data nyata.
Melalui evaluasi yang transparan dan realistis, perusahaan dapat mendapatkan gambaran yang lebih jelas tentang ancaman yang mereka hadapi dan bagaimana solusi mereka dapat melindungi data dan aset penting mereka. Semakin realistis evaluasi ini, semakin baik organisasi dapat mempersiapkan diri untuk menghadapi serangan siber yang semakin canggih dan terorganisir. Kami berharap untuk terus berpartisipasi dalam evaluasi ini di masa depan dan terus meningkatkan kemampuan kami dalam menghadapi ancaman dunia maya.
Evaluasi MITRE ATT&CK 2025 adalah langkah penting dalam dunia keamanan siber. Ini adalah kesempatan bagi kita untuk belajar, beradaptasi, dan melangkah lebih jauh dalam membangun dunia maya yang lebih aman.
Ingin Melindungi Jaringan Anda dengan Teknologi Keamanan Terkini?
Sophos hadir untuk membantu Anda menjaga keamanan jaringan dengan solusi yang canggih dan terpercaya. Dengan teknologi terbaru dari Sophos, Anda dapat melindungi sistem Anda dari berbagai ancaman, memastikan bahwa data dan aplikasi perusahaan Anda tetap aman.
- Hubungi kami di Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan yang tepat untuk kebutuhan Anda, atau
- Konsultasikan dengan tim ahli kami di PT. iLogo Infralogy Indonesia. Kami siap memberikan dukungan penuh dalam merancang dan mengimplementasikan solusi keamanan yang paling efektif untuk perusahaan Anda.
Dengan Sophos, kami memastikan sistem Anda selalu aman dan tangguh, siap menghadapi berbagai ancaman yang terus berkembang. Hubungi kami sekarang dan buat langkah pertama menuju perlindungan siber yang lebih kuat!
