Pendekatan ini menunjukkan evolusi dari para pelaku ancaman yang menyalahgunakan alat pemantauan dan manajemen jarak jauh.
Ditulis oleh Tim Riset Sophos Counter Threat Unit
26 Agustus 2025
Penelitian Ancaman | Alat Serangan | Akses Jarak Jauh | Velociraptor | Visual Studio Code
Pada Agustus 2025, peneliti Counter Threat Unit™ (CTU) menyelidiki sebuah insiden intrusi yang melibatkan penggunaan alat digital forensik dan respons insiden (DFIR) Velociraptor yang bersifat open-source dan sah. Dalam insiden ini, pelaku ancaman menggunakan alat tersebut untuk mengunduh dan menjalankan Visual Studio Code dengan kemungkinan tujuan membuat terowongan ke server command and control (C2) yang dikendalikan penyerang. Mengaktifkan opsi terowongan di Visual Studio Code memicu peringatan dari Taegis™, karena opsi ini memungkinkan akses jarak jauh dan eksekusi kode jarak jauh, yang telah disalahgunakan oleh beberapa kelompok ancaman sebelumnya.
Pelaku menggunakan utilitas Windows msiexec untuk mengunduh installer (v2.msi) dari domain Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev). Lokasi ini tampaknya merupakan folder staging untuk alat-alat penyerang, termasuk alat tunneling Cloudflare dan alat administrasi jarak jauh Radmin. File ini menginstal Velociraptor yang dikonfigurasi untuk berkomunikasi dengan server C2 velo[.]qaubctgg[.]workers[.]dev. Pelaku kemudian menggunakan perintah PowerShell yang dienkode untuk mengunduh Visual Studio Code (code.exe) dari folder staging yang sama dan menjalankannya dengan opsi terowongan aktif. Pelaku menginstal code.exe sebagai layanan dan mengarahkan outputnya ke file log. Selanjutnya, mereka kembali menggunakan utilitas msiexec Windows untuk mengunduh malware tambahan (sc.msi) dari folder workers[.]dev (lihat Gambar 1).
Velociraptor membuat terowongan Visual Studio Code
Gambar 1: Pohon proses yang menunjukkan Velociraptor membuat terowongan Visual Studio Code.
Aktivitas tunneling Visual Studio Code memicu peringatan Taegis yang menyebabkan investigasi oleh Sophos. Analis memberikan saran mitigasi yang memungkinkan pelanggan segera mengambil tindakan perbaikan seperti mengisolasi host yang terinfeksi, yang mencegah pelaku mencapai tujuannya. Analisis menunjukkan bahwa aktivitas jahat ini kemungkinan besar akan berujung pada penyebaran ransomware.
Pelaku ancaman sering menyalahgunakan alat pemantauan dan manajemen jarak jauh (RMM). Kadang-kadang mereka memanfaatkan alat yang sudah ada di sistem target, dan di lain waktu mereka menginstal alat tersebut selama serangan. Insiden Velociraptor ini mengungkap bahwa penyerang mulai menggunakan alat respons insiden untuk mendapatkan pijakan dalam jaringan sekaligus meminimalkan jumlah malware yang mereka sebarkan.
Organisasi disarankan untuk memantau dan menyelidiki penggunaan Velociraptor yang tidak sah, dan menganggap temuan penggunaan alat ini sebagai tanda awal potensi serangan ransomware. Mengimplementasikan sistem deteksi dan respons endpoint, memantau alat tak terduga dan perilaku mencurigakan, serta mengikuti praktik terbaik untuk mengamankan sistem dan melakukan pencadangan, dapat membantu mengurangi risiko serangan ransomware. Dampak serangan dapat sangat diminimalkan jika terdeteksi sebelum ransomware dijalankan.
Proteksi Sophos berikut mendeteksi aktivitas terkait ancaman ini:
- Troj/Agent-BLMR
- Troj/BatDl-PL
- Troj/Mdrop-KDK
Untuk mengurangi risiko dari malware ini, peneliti CTU™ menyarankan organisasi menggunakan kontrol yang tersedia untuk meninjau dan membatasi akses menggunakan indikator yang tercantum di Tabel 1. Domain-domain tersebut dapat berisi konten berbahaya, sehingga pertimbangkan risikonya sebelum membukanya di browser.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!