Kampanye serangan siber canggih yang menargetkan server Microsoft SharePoint telah mengkompromikan lebih dari 100 organisasi di seluruh dunia, dengan US National Nuclear Security Administration di antara korban yang dikonfirmasi. Serangan tersebut, yang dikaitkan dengan kelompok hacker yang disponsori negara China, mengeksploitasi kerentanan kritis dalam deployment SharePoint on-premises untuk mendapatkan akses tidak sah dan membangun pijakan persisten dalam jaringan yang ditargetkan.
 |
|---|
| Sebuah papan tanda di kampus korporat Microsoft di Redmond, Washington, yang menunjukkan sumber kerentanan perangkat lunak yang dieksploitasi dalam serangan siber terkini |
Kerentanan Kritis Memungkinkan Kompromi Meluas
Kampanye serangan ini berpusat pada eksploitasi CVE-2025-53770, sebuah kerentanan eksekusi kode jarak jauh yang kritis di SharePoint Server dengan rating CVSS 9.8. Kelemahan deserialisasi ini memungkinkan penyerang untuk mengirim permintaan yang dibuat khusus untuk mengeksekusi kode arbitrer pada sistem yang rentan. Tingkat keparahan kerentanan ini diperparah oleh penyerang yang menggabungkannya dengan eksploit tambahan, termasuk CVE-2025-49704 dan CVE-2025-49706, untuk melewati patch keamanan yang dirilis Microsoft pada Mei 2025.
Kerentanan yang Terdampak:
- CVE-2025-53770: Kerentanan eksekusi kode jarak jauh yang kritis (CVSS 9.8)
- CVE-2025-49704: Eksploit berantai yang digunakan untuk melewati patch
- CVE-2025-49706: Kerentanan tambahan yang digunakan dalam rantai serangan
Aktor Ancaman China Menerapkan Malware Canggih
Tim Microsoft Threat Intelligence secara resmi telah mengaitkan kampanye ini dengan beberapa aktor ancaman berbasis China, termasuk Linen Typhoon, Violet Typhoon, dan Storm-2603. Kelompok-kelompok ini menerapkan versi modifikasi dari ToolShell, sebuah trojan akses jarak jauh yang sebelumnya dikaitkan dengan operasi spionase China. Malware tersebut terintegrasi dengan mulus ke dalam alur kerja SharePoint, memungkinkan penyerang untuk berbaur dengan lalu lintas jaringan yang sah sambil mempertahankan akses persisten untuk operasi masa depan.
Aktor Ancaman yang Diatribusikan:
- Linen Typhoon : Kelompok berbasis China dengan riwayat pencurian kekayaan intelektual dan spionase
- Violet Typhoon : Aktor yang disponsori negara China yang menargetkan pemerintah dan militer
- Storm-2603 : Aktor ancaman yang terkait dengan China (atribusi dengan tingkat kepercayaan menengah)
Target Profil Tinggi Termasuk Infrastruktur Kritis
Ruang lingkup kompromi ini meluas jauh melampaui target korporat biasa. Menurut laporan Bloomberg, hacker berhasil menyusup US National Nuclear Security Administration, agensi federal yang bertanggung jawab mengelola persenjataan nuklir Amerika dan sistem propulsi kapal selam. Meskipun pejabat mengkonfirmasi bahwa tidak ada informasi sensitif atau rahasia yang dikompromikan, insiden ini menyoroti fokus kampanye pada infrastruktur kritis dan entitas pemerintah. The Shadowserver Foundation melaporkan bahwa sebagian besar organisasi yang terkena dampak berlokasi di Amerika Serikat dan Jerman, mencakup agensi pemerintah, institusi pendidikan, dan perusahaan energi.
Patching Terbukti Tidak Memadai Terhadap Ancaman Persisten
Kampanye ini dimulai sejak awal April 2025, dengan beberapa penyerang mendapatkan akses sebelum patch tersedia. Bahkan setelah Microsoft merilis pembaruan keamanan, banyak sistem yang dikompromikan tetap rentan karena kemampuan penyerang untuk mempertahankan persistensi melalui alat tambahan dan teknik lateral movement. Para ahli keamanan menekankan bahwa insiden ini menunjukkan bagaimana patching saja tidak dapat mengatasi serangan nation-state canggih yang membangun pijakan jaringan yang dalam.
Kronologi Serangan:
- April 2025: Kampanye dimulai
- Mei 2025: Microsoft merilis patch keamanan awal
- Juli 2025: Microsoft mengkonfirmasi atribusi dan merilis analisis terperinci
- Lebih dari 100 organisasi dikompromikan secara global
Lanskap Ancaman yang Meluas Menimbulkan Kekhawatiran
Charles Carmakal, CTO Mandiant Consulting di Google Cloud, memperingatkan bahwa ancaman telah berkembang melampaui asal-usul China awalnya. Beberapa aktor ancaman kini secara aktif mengeksploitasi kerentanan ini, dengan jendela antara penemuan yang disponsori negara dan adopsi kriminal yang lebih luas menyusut dengan cepat. Tren ini menunjukkan bahwa organisasi di seluruh dunia menghadapi lanskap ancaman yang meluas dan semakin beragam yang menargetkan deployment SharePoint.
Respons Komprehensif Diperlukan
Microsoft merekomendasikan tindakan segera untuk organisasi yang menjalankan server SharePoint on-premises. Langkah-langkah kritis termasuk mengaudit dan mengisolasi sistem SharePoint, terutama yang memiliki eksposur eksternal, dan mengimplementasikan pemantauan komprehensif untuk perilaku jaringan yang tidak biasa. Organisasi juga harus mengaktifkan Microsoft Defender Antivirus atau solusi setara, mengkonfigurasi Antimalware Scan Interface dalam Full Mode, dan merotasi kunci mesin ASP.NET server SharePoint sambil me-restart Internet Information Services.
Langkah-Langkah Keamanan yang Direkomendasikan:
- Terapkan pembaruan keamanan SharePoint segera
- Aktifkan Antimalware Scan Interface (AMSI) dalam Mode Penuh
- Terapkan Microsoft Defender for Endpoint atau yang setara
- Rotasi kunci mesin ASP.NET server SharePoint
- Restart Internet Information Services (IIS)
- Audit dan isolasi server SharePoint yang terekspos secara eksternal
Implikasi untuk Strategi Keamanan Hybrid
Kampanye ini mengekspos kerentanan signifikan dalam lingkungan IT hybrid di mana sistem on-premises lama hidup berdampingan dengan deployment cloud. Ahli strategi keamanan Gabrielle Hempel dari Exabeam mencatat kesamaan yang jelas dengan serangan server Exchange 2021, menekankan bahwa deployment self-hosted tetap menjadi target menarik karena penundaan patching dan kontrol akses yang tidak memadai. Insiden ini menggarisbawahi kebutuhan organisasi untuk memikirkan kembali pendekatan mereka dalam mengamankan lingkungan hybrid melampaui pertahanan tradisional yang berfokus pada perimeter.