Microsoft mengungkapkan bahwa kelompok peretas yang mereka lacak disebut sebagai APT29 dan terkait dengan Badan Intelijen Asing Rusia (SVR) telah menargetkan puluhan organisasi di seluruh dunia melalui serangan phishing di platform Microsoft Teams. Organisasi yang menjadi sasaran termasuk lembaga pemerintah.
Pernyataan Microsoft hari ini menyatakan bahwa berdasarkan penyelidikan mereka saat ini, kampanye ini telah berdampak pada kurang dari 40 organisasi global yang berbeda.
Organisasi yang menjadi target dalam aktivitas ini kemungkinan besar menunjukkan tujuan spionase khusus oleh kelompok Midnight Blizzard, yang ditujukan pada sektor pemerintah, organisasi non-pemerintah (LSM), layanan IT, teknologi, discrete manufacturing dan media.
Para pelaku ancaman memanfaatkan akun penyewa Microsoft 365 yang telah disusupi untuk membuat domain baru dengan tema dukungan teknis. Mereka kemudian mengirimkan umpan dukungan teknis, dengan tujuan mengelabui pengguna dalam organisasi yang menjadi target, menggunakan taktik rekayasa sosial.
Mereka berusaha untuk memanipulasi pengguna agar memberikan persetujuan untuk permintaan otentikasi multifaktor (MFA), dengan tujuan akhir mencuri kredensial mereka.
Penyerang menggunakan penyewa Microsoft 365 yang telah disusupi untuk membuat domain baru dengan tema dukungan teknis. Domain baru ini termasuk dalam domain 'onmicrosoft.com,' yang merupakan domain sah dari Microsoft dan secara otomatis digunakan oleh Microsoft 365 sebagai cadangan jika domain kustom tidak tersedia.
Kemudian, menggunakan domain tersebut, mereka mengirimkan umpan dukungan teknis untuk menipu pengguna dari organisasi yang menjadi target agar menyetujui permintaan autentikasi multifaktor (MFA).
Karena pesan berasal dari domain onmicrosoft.com yang sah, pesan tersebut mungkin mengakibatkan pesan dukungan palsu Microsoft terlihat meyakinkan dan dapat dipercaya.
Menurut penasehat dari Redmond, tujuan akhir dari para pelaku ancaman adalah mencuri kredensial pengguna yang menjadi sasaran mereka.
Dalam beberapa kasus, pelaku mencoba menambahkan perangkat ke dalam organisasi sebagai perangkat terkelola melalui Microsoft Endpoint Manager (sebelumnya dikenal sebagai Azure Active Directory). Hal ini mungkin merupakan upaya untuk menghindari kebijakan akses bersyarat yang telah dikonfigurasi untuk membatasi akses ke sumber daya tertentu hanya untuk perangkat yang diatur secara terkelola, tambah Microsoft.
Perusahaan melaporkan bahwa mereka telah berhasil memblokir kelompok ancaman Rusia dari memanfaatkan domain tersebut dalam serangan selanjutnya, dan saat ini mereka secara aktif bekerja untuk mengatasi serta mengurangi dampak dari kampanye tersebut.
Tidak Semua Bug Diciptakan Sama
Bulan lalu, Microsoft menolak untuk menangani masalah keamanan yang ditemukan oleh peneliti keamanan Jumpsec di Microsoft Teams. Masalah tersebut memungkinkan seseorang untuk melewati batasan pada file yang masuk dari penyewa eksternal dengan menggunakan alat Python bernama TeamsPhisher, yang dikembangkan oleh Alex Reid, anggota Red team Angkatan Laut AS.
Pada bulan Juni, ketika JumpSec melaporkan bug tersebut, Microsoft menyatakan bahwa kelemahan tersebut tidak memenuhi standar untuk segera diperbaiki.
Saat ditanya awak media, juru bicara Microsoft mengatakan bahwa mereka telah mengetahui laporan tersebut dan menyimpulkan bahwa hal tersebut bergantung pada rekayasa sosial agar berhasil.
Juru bicara Microsoft tersebut juga menambahkan bahwa mereka mendorong pelanggan untuk mengadopsi kebiasaan komputasi yang baik secara online, termasuk berhati-hati saat mengklik tautan ke halaman web, membuka file yang tidak dikenal, atau menerima transfer file.
Sayangnya, serangan rekayasa sosial APT29 juga telah berdampak pada lembaga pemerintah, menyoroti betapa besar dampak dari serangan tersebut, bahkan pada entitas yang memiliki tingkat perlindungan yang baik.
Peretas Intelijen Asing Rusia
Tiga tahun lalu, APT29, yang merupakan divisi peretasan dari Badan Intelijen Asing Rusia (SVR), terlibat dalam serangan rantai pasokan SolarWinds yang menyebabkan pelanggaran pada beberapa agen federal AS.
Sejak kejadian tersebut, grup peretas ini juga berhasil menyusup ke jaringan organisasi lain dengan menggunakan malware tersembunyi, termasuk TrailBlazer dan varian backdoor GoldMax Linux. Malware-malware ini memungkinkan mereka untuk tetap tidak terdeteksi selama bertahun-tahun.
Baru-baru ini, Microsoft mengungkapkan bahwa kelompok peretas menggunakan malware baru yang memiliki kemampuan untuk merebut kendali Active Directory Federation Services (AD FS), yang memungkinkan mereka untuk masuk sebagai pengguna apapun di sistem Windows.
Selain itu, kelompok peretas tersebut telah menargetkan akun Microsoft 365 yang dimiliki oleh entitas di negara-negara NATO sebagai bagian dari upaya mereka untuk mendapatkan akses ke informasi terkait kebijakan luar negeri.
Selain itu, mereka juga bertanggung jawab atas serangkaian kampanye phishing yang secara khusus menargetkan pemerintah, kedutaan dan pejabat tinggi di seluruh Eropa.
0 Comments
