Microsoft mengungkapkan bahwa mereka masih belum memahami dengan pasti bagaimana peretas asal China berhasil mencuri signing key (kunci penandatanganan) untuk akun Microsoft (MSA) yang tidak aktif. Kejadian ini kemudian digunakan untuk meretas akun Exchange Online dan Azure AD dari sekitar dua puluh empat organisasi, termasuk beberapa lembaga pemerintah.
Dalam laporan terbaru yang diterbitkan pada 14 Juli lalu, Microsoft mengatakan bahwa metode yang digunakan oleh pelaku untuk mendapatkan kunci penandatanganan tersebut sedang diselidiki secara intensif.
Insiden tersebut dilaporkan oleh pejabat pemerintah AS setelah terdeteksinya akses yang tidak sah ke beberapa layanan email Exchange Online lembaga pemerintah.
Pada tanggal 16 Juni, Microsoft memulai penyelidikan terhadap serangan tersebut dan menemukan bahwa group cyber spionase yang dapat ditelusuri hingga China, yang dikenal dengan sebutan Storm-0558, telah melanggar akun email dari sekitar 25 organisasi. Dalam serangan ini, dilaporkan bahwa U.S. State and Commerce Department juga menjadi target.
Para pelaku ancaman menggunakan kunci penandatanganan perusahaan Azure AD yang berhasil dicuri untuk membuat token otentikasi palsu melalui eksploitasi celah pada API GetAccessTokenForResource. Hal ini memungkinkan mereka untuk mendapatkan akses ke email perusahaan yang menjadi target.
Storm-0558 menggunakan skrip PowerShell dan Python untuk menciptakan token akses baru melalui panggilan API REST terhadap layanan OWA Exchange Store. Melalui metode ini, mereka dapat mencuri email dan lampiran. Meskipun demikian, Redmond belum mengonfirmasi apakah mereka menggunakan pendekatan ini dalam serangan pencurian data Exchange Online yang terjadi bulan lalu.
Dalam pernyataan tersebut, Microsoft juga menambahkan bahwa berdasarkan telemetri dan investigasi mereka, aktivitas post-compromise terbatas pada akses email dan pengeluaran data hanya untuk pengguna yang menjadi target.
Pada tanggal 3 Juli, perusahaan telah memblokir penggunaan kunci penandatanganan pribadi yang dicuri bagi semua pelanggan yang terkena dampak. Selain itu, mereka mengumumkan bahwa infrastruktur replay token penyerang telah ditutup hanya dalam waktu satu hari setelahnya.
Signing key MSA dicabut untuk memblokir pemalsuan token Azure AD
Pada tanggal 27 Juni, Microsoft mengambil langkah ekstra dengan mencabut semua kunci penandatanganan MSA yang sah. Tindakan ini bertujuan untuk menghentikan segala upaya pembuatan token akses baru dan memastikan bahwa token yang baru saja dibuat dipindahkan ke penyimpanan kunci yang digunakan oleh sistem perusahaan mereka.
Microsoft mengungkapkan bahwa sejak mereka mencabut kunci penandatanganan MSA yang diperoleh oleh pelaku, tidak ada aktivitas yang terkait dengan kunci tersebut yang diamati.
Meskipun tidak lagi ada aktivitas berbahaya yang terdeteksi yang terkait dengan kunci oleh Storm-0558 setelah pencabutan semua kunci penandatanganan MSA yang aktif dan pengurangan pengaktifan API flaw dan Microsoft mengungkapkan bahwa penyerang telah beralih ke teknik lain.
Microsoft mengkonfirmasi bahwa sejak pembatalan kunci penandatanganan MSA yang diperoleh oleh pelaku, tidak ada aktivitas yang terkait dengan kunci tersebut yang diamati. Selain itu, mereka juga mencatat bahwa Storm-0558 telah beralih ke teknik lain, menunjukkan bahwa aktor tidak lagi dapat menggunakan atau mengakses kunci penandatanganan apapun.
Pada hari Selasa, Microsoft juga mengungkapkan bahwa group cybercrime RomCom Rusia telah memanfaatkan kerentanan zero-day dalam Office yang belum diperbaiki dalam serangan phishing terbaru terhadap organisasi yang hadir dalam KTT NATO di Vilnius, Lituania.
Operator RomCom memanfaatkan dokumen berbahaya yang menyamar sebagai Ukrainian World Congress untuk memfasilitasi penyebaran payload malware, termasuk loader MagicSpell dan backdoor RomCom.
0 Comments
