Briefing TTP Cybereason: Wawasan Intelijen Ancaman Langsung dari Lapangan

Tinjauan TTP Utama Januari – Mei 2025

Periode Januari hingga Mei 2025 menandai perubahan signifikan dalam taktik, teknik, dan prosedur (TTP) yang digunakan oleh aktor ancaman siber. Observasi selama periode ini menunjukkan adaptasi cepat dalam metode serangan untuk menghindari deteksi dan meningkatkan efektivitas. Pemahaman mendalam tentang TTP yang berkembang ini penting bagi tim keamanan untuk memperkuat pertahanan secara proaktif. Tren utama mencakup diversifikasi metode akses awal, penggunaan teknik living off the land yang semakin canggih, dan evolusi dalam infrastruktur Command and Control (C2).

Metode Akses Awal yang Dominan

Selama awal 2025, phishing tetap menjadi vektor akses awal yang paling umum, sering kali memanfaatkan teknik rekayasa sosial yang lebih meyakinkan. Lampiran atau tautan berbahaya yang disamarkan sebagai komunikasi bisnis atau peringatan keamanan mendesak adalah taktik favorit. Selain itu, eksploitasi kerentanan pada perangkat lunak yang menghadap ke internet, termasuk VPN, firewall, dan server web, menunjukkan peningkatan yang mencolok. Serangan rantai pasok juga terus menjadi ancaman signifikan, menargetkan software supply chain untuk menyebarkan malware secara luas.

Teknik Persistensi dan Pergerakan Lateral

Setelah mendapatkan akses awal, aktor ancaman secara aktif berupaya membangun persistensi dalam lingkungan target. Teknik seperti modifikasi registry run keys, penjadwalan tugas melalui Task Scheduler atau WMI, dan penggunaan startup folders lazim ditemukan. Untuk pergerakan lateral, penggunaan kredensial yang dicuri atau ditingkatkan hak aksesnya untuk mengakses sistem lain melalui RDP, PsExec, atau berbagi SMB tetap menjadi pendekatan standar industri bagi penyerang. Terdapat juga peningkatan penggunaan alat bawaan sistem (living off the land binaries – LOLBins) untuk meminimalkan jejak malware kustom.

Evolusi Teknik Command and Control (C2)

BACA JUGA:  Kanvas: Alat open-source untuk manajemen kasus insiden

Infrastruktur C2 menunjukkan inovasi yang berkelanjutan. Aktor ancaman semakin banyak menggunakan layanan cloud dan platform komunikasi legal untuk menyamarkan lalu lintas berbahaya. Penggunaan C2 yang didasarkan pada protokol non-standar atau yang dienkripsi kuat juga meningkat, membuat deteksi melalui signature atau traffic analysis lebih sulit. Kerangka kerja C2 populer seperti Cobalt Strike, Empire, dan Brute Ratel tetap sering digunakan, tetapi muncul juga alat kustom yang lebih terspesialisasi.

Fokus pada Dampak Serangan (Ransomware & Eksfiltrasi)

Dampak serangan selama periode ini didominasi oleh dua tujuan utama: penyebaran ransomware dan eksfiltrasi data sensitif. Grup ransomware terus beradaptasi dengan model bisnis baru seperti Ransomware-as-a-Service (RaaS) dan praktik pemerasan ganda (enkripsi plus ancaman publikasi data). Eksfiltrasi data sering kali mendahului atau menyertai serangan ransomware, meningkatkan tekanan pada korban untuk membayar tebusan. Data yang paling berharga dan menjadi target utama meliputi informasi pelanggan, kekayaan intelektual, dan data operasional kritis.

Aktor Ancaman dan Tren Terbaru

Berbagai kelompok aktor ancaman, mulai dari kelompok kriminal siber hingga aktor yang disponsori negara, aktif beroperasi. Terlihat peningkatan target pada sektor-sektor kritis seperti kesehatan, keuangan, dan infrastruktur energi. Tren terkini menunjukkan pergeseran menuju serangan yang lebih bertarget dan berdurasi singkat, dengan fokus pada dampak finansial yang maksimal atau pencurian data yang spesifik. Kolaborasi antara kelompok kriminal siber melalui pasar gelap untuk penjualan akses awal dan alat terus berlanjut, mempercepat proliferasi TTP canggih.

Sumber: https://www.cybereason.com/blog/ttp-briefing-jan-may-2025