Baru-baru ini, lembaga siber di Amerika Serikat dan Inggris mengeluarkan peringatan terkait gelombang serangan baru yang dipimpin oleh kelompok peretas Rusia, APT29. Kelompok peretas ini dikenal sangat canggih dan aktif mengeksploitasi kerentanan dalam Zimbra Collaboration Suite serta JetBrains TeamCity, khususnya pada CVE-2022-27924 dan CVE-2023-42793, untuk menyerang sistem kritis.
Di Imperva, kami berkomitmen untuk melindungi pelanggan kami dari ancaman seperti ini. Pelanggan Imperva telah terlindungi dari kerentanan ini sejak hari pertama.
Lanskap Ancaman: Kerentanan Zimbra dan TeamCity
APT29, sebuah kelompok peretas yang didukung oleh negara Rusia dan terhubung dengan badan intelijen SVR, telah dikaitkan dengan berbagai kampanye spionase siber tingkat tinggi. Target utama mereka mencakup organisasi pemerintahan, perusahaan teknologi, dan infrastruktur vital. Baru-baru ini, mereka mengeksploitasi kerentanan pada platform populer seperti Zimbra dan TeamCity. Berikut penjelasan detailnya:
| Kerentanan | Deskripsi | Dampak |
| CVE-2022-27924 (Zimbra) | Kerentanan ini memungkinkan penyerang mencuri kredensial login secara jarak jauh melalui server email yang rentan. Penyerang bisa mendapatkan akses istimewa ke email dan komunikasi sensitif. | Kompromi penuh sistem, dengan ancaman utama berupa pencurian data dan spionase. |
| CVE-2023-42793 (TeamCity) | Kerentanan ini memungkinkan penyerang membaca file sensitif di server, yang dapat digunakan untuk meningkatkan hak akses dan menyerang jaringan organisasi lebih jauh. | Risiko besar pada pipeline CI/CD dan serangan rantai pasokan. |
Temuan Imperva
Kerentanan Zimbra:
Kami mendeteksi serangkaian serangan yang mencoba mengeksploitasi kerentanan ini, dengan fokus pada sebuah situs layanan keuangan. Serangan ini mayoritas terjadi pada tanggal 17 Agustus dan dilakukan oleh bot otomatis yang sebagian besar berasal dari Inggris. Tujuan utama serangan adalah mencuri kredensial email melalui eksploitasi kerentanan tersebut.
Kerentanan TeamCity:
Eksploitasi kerentanan ini jauh lebih agresif. Kami mencatat jutaan permintaan serangan yang menargetkan berbagai industri, seperti layanan keuangan, bisnis, komputasi, dan telekomunikasi. Serangan ini berasal dari berbagai negara, termasuk Amerika Serikat, Jerman, India, Prancis, dan Rusia. Para penyerang menggunakan kombinasi bot dan browser palsu untuk memaksimalkan efektivitas eksploitasi. Pola serangan ini menunjukkan adanya kampanye yang terkoordinasi dengan baik untuk menyerang pipeline CI/CD dan lingkungan pengembangan sensitif.
Data Serangan Berdasarkan Target dan Lokasi
| Kerentanan | Industri Target | Lokasi Target Utama |
| Zimbra | Layanan Keuangan | Inggris |
| TeamCity | FSI, Bisnis, Telekomunikasi | Amerika Serikat, Australia, India |
Kami juga menemukan beberapa alamat IP yang digunakan untuk mengeksploitasi kedua kerentanan ini, yang mengindikasikan kemungkinan penggunaan infrastruktur bersama oleh aktor ancaman.
Cara Tetap Terdepan Menghadapi APT29 dan Ancaman Lainnya
Dengan meningkatnya agresivitas dan kecanggihan serangan yang dilakukan oleh aktor yang disponsori negara, melindungi dari eksploitasi seperti CVE-2022-27924 dan CVE-2023-42793 menjadi semakin penting. Fokus APT29 pada Zimbra dan TeamCity menunjukkan bahwa sistem email dan pipeline CI/CD perlu mendapatkan perhatian ekstra dalam upaya pengamanan.
Untuk membantu organisasi tetap aman, Imperva menyediakan alat keamanan canggih yang dirancang untuk mendeteksi dan mencegah ancaman siber secara real-time. Dengan Web Application Firewall (WAF) kami, pelanggan mendapatkan perlindungan langsung untuk aplikasi web mereka. Teknologi ini memastikan operasi berjalan lancar dan memberikan rasa tenang dengan melindungi aset digital organisasi Anda.
Imperva siap untuk menjaga infrastruktur Anda tetap aman dan melindungi data sensitif Anda dari eksploitasi oleh aktor ancaman yang paling persisten sekalipun.
Kesimpulan:
Melalui solusi keamanan tingkat lanjut, Imperva terus mendukung perusahaan dalam menghadapi ancaman cyber yang berkembang. Dengan perlindungan proaktif, organisasi dapat fokus pada bisnis inti tanpa khawatir akan ancaman yang mengintai di dunia maya.
