Peringatan Baru Serangan APT29: Eksploitasi Kerentanan Zimbra dan JetBrains
Baru-baru ini, badan siber AS dan Inggris mengeluarkan peringatan tentang gelombang serangan baru yang dipimpin oleh peretas APT29 asal Rusia. Kelompok ancaman canggih ini secara aktif mengeksploitasi kerentanan pada Zimbra Collaboration Suite dan JetBrains TeamCity, khususnya CVE-2022-27924 dan CVE-2023-42793, untuk menyerang sistem-sistem kritis.
Kerentanan ini memungkinkan peretas mendapatkan akses tidak sah, mencuri data, atau merusak sistem target. Dengan kemampuan teknis yang tinggi, APT29 terus menjadi ancaman signifikan terhadap infrastruktur digital, termasuk organisasi pemerintah dan perusahaan besar.
Penting bagi organisasi untuk segera menambal kerentanan ini dan menerapkan langkah-langkah keamanan tambahan, seperti meningkatkan monitoring jaringan dan membatasi akses ke sistem penting. Keamanan proaktif adalah kunci untuk melindungi dari ancaman tingkat lanjut seperti serangan ini.
Di Imperva, kami berkomitmen untuk memastikan pelanggan kami tetap terlindungi dari eksploitasi semacam ini. Pelanggan Imperva telah dilindungi dari kerentanan pada Zimbra Collaboration Suite dan JetBrains TeamCity sejak hari pertama.
Lanskap Ancaman: Kerentanan Zimbra dan TeamCity
APT29, kelompok peretas terkenal yang didukung negara Rusia dan terkait dengan SVR (Layanan Intelijen Luar Negeri Rusia), telah terlibat dalam serangkaian kampanye spionase siber canggih yang menargetkan organisasi pemerintah, perusahaan teknologi, dan infrastruktur penting. Eksploitasi terbaru mereka menargetkan kerentanannya pada platform yang banyak digunakan, Zimbra dan TeamCity:
- CVE-2022-27924: Kerentanannya pada Zimbra memungkinkan serangan email compromise yang memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk mencuri kredensial login melalui server email yang rentan, yang bisa menyebabkan kompromi sistem secara penuh. Mengeksploitasi kelemahan ini dapat memberikan akses istimewa kepada penyerang untuk email dan komunikasi sensitif, menjadikannya target utama untuk spionase. Kerentanannya ini telah dieksploitasi sejak Agustus 2022 untuk mencuri kredensial akun email.
- CVE-2023-42793: Kerentanannya pada JetBrains TeamCity adalah cacat arbitrary file read yang memungkinkan penyerang mengakses file sensitif di server. Pelanggaran data sensitif ini dapat digunakan untuk meningkatkan hak akses dan lebih jauh menyusup ke jaringan organisasi, memberikan risiko signifikan terhadap jalur pengembangan (development pipeline). Kerentanannya ini telah dieksploitasi oleh kelompok ransomware dan kelompok peretas dari Korea Utara untuk mendapatkan akses awal dan mencoba serangan rantai pasokan (supply chain attacks).
Kerentanannya ini menjadi ancaman besar bagi organisasi yang menggunakan platform tersebut, dan penting bagi perusahaan untuk segera menambal dan mengamankan sistem mereka untuk mencegah eksploitasi lebih lanjut.
Apa yang Telah Kami Amati
Imperva telah mengamati beberapa serangan yang mencoba mengeksploitasi kerentanannya ini.
Untuk Zimbra, kami mencatat beberapa upaya serangan yang menargetkan situs layanan keuangan (FSI), dengan sebagian besar aktivitas terfokus pada 17 Agustus. Serangan ini dilakukan menggunakan bot otomatis yang berasal terutama dari Inggris, dengan tujuan mengeksploitasi kerentanannya pada email compromise.
Sebaliknya, serangan yang mengeksploitasi kerentanannya pada JetBrains TeamCity jauh lebih agresif. Kami mendeteksi jutaan permintaan di berbagai industri, termasuk FSI, layanan bisnis, komputasi, dan telekomunikasi. Lalu lintas berbahaya ini datang dari berbagai negara, termasuk AS, Jerman, India, Prancis, dan Rusia, dengan penyerang memanfaatkan bot dan penyamaran browser untuk memaksimalkan efektivitas upaya eksploitasi. Pola-pola ini menunjukkan adanya kampanye yang terkoordinasi dan meluas, dengan fokus pada kompromi CI/CD pipeline dan lingkungan pengembangan sensitif.
Serangan ini terutama menargetkan situs yang berbasis di AS, Australia, dan India, terutama di industri FSI dan bisnis. Kami juga mencatat beberapa alamat IP yang tumpang tindih yang kami lihat mengeksploitasi kedua CVE ini, yang mungkin menunjukkan infrastruktur gabungan dari aktor ancaman yang sama.
Tetap Terdepan dari APT29 dan Aktor Ancaman Lainnya
Dengan semakin agresif dan canggihnya serangan yang didukung negara, melindungi dari eksploitasi terarah seperti CVE-2022-27924 dan CVE-2023-42793 menjadi lebih penting dari sebelumnya. Fokus APT29 pada kompromi Zimbra dan TeamCity menyoroti pentingnya mengamankan layanan operasi perusahaan, termasuk sistem email dan CI/CD pipeline.
Dengan memanfaatkan alat keamanan canggih kami, kami dapat memastikan bahwa sistem Anda terlindungi dari eksploitasi oleh musuh yang paling gigih sekalipun. Web Application Firewall (WAF) Imperva menyediakan keamanan siap pakai untuk aplikasi web Anda. WAF kami mendeteksi dan mencegah ancaman siber, memastikan operasi yang lancar dan ketenangan pikiran.
Lindungi aset digital Anda dengan solusi Imperva yang tangguh dan terdepan di industri. Kami siap untuk mempertahankan infrastruktur Anda dan menjaga data sensitif Anda tetap aman.
