Kelompok peretas yang dikenal sebagai TA577 baru-baru ini mengubah taktik dengan menggunakan email phising bajak akun yakni dengan mencuri hash otentikasi NT LAN Manager (NTLM).
TA577 dianggap sebagai broker akses awal (IAB), yang sebelumnya dikaitkan dengan Qbot dan terkait dengan infeksi ransomware Black Basta.
Meskipun TA577 menunjukkan preferensi untuk menggunakan Pikabot baru-baru ini, dua gelombang serangan baru-baru ini menunjukkan taktik yang berbeda.
Taktik Berbeda
Operasi TA577 yang berbeda diluncurkan pada tanggal 26 dan 27 Februari 2024, menyebarkan ribuan pesan ke ratusan organisasi di seluruh dunia, menargetkan hash NTLM karyawan.
Hash NTLM digunakan di Windows untuk otentikasi dan keamanan sesi dan dapat ditangkap untuk peretasan kata sandi offline untuk mendapatkan kata sandi teks biasa.
Selain itu, mereka dapat digunakan dalam serangan “pass-the-hash” yang tidak melibatkan cracking sama sekali, dimana penyerang menggunakan hash untuk mengautentikasi ke server atau layanan jarak jauh.
Hash yang dicuri, dalam keadaan tertentu dan bergantung pada langkah-langkah keamanan yang diterapkan, memungkinkan pelaku untuk:
- Meningkatkan hak istimewa.
- Membajak akun.
- Mengakses informasi sensitif.
- Menghindari solusi keamanan.
- Dan bergerak ke meluas dalam jaringan yang dibobol.
Modus Operandi
Operasi baru ini dimulai dengan email phising yang tampaknya merupakan balasan dari diskusi target sebelumnya, sebuah teknik yang dikenal sebagai pembajakan thread.
Email tersebut melampirkan arsip ZIP unik (per korban) yang berisi file HTML yang menggunakan tag HTML penyegaran META untuk memicu koneksi otomatis ke file teks di server Server Message Block (SMB) eksternal.
Ketika perangkat Windows terhubung ke server, secara otomatis akan mencoba melakukan Tantangan/Respon NTLMv2, yang memungkinkan server jarak jauh yang dikendalikan pelaku mencuri hash otentikasi NTLM.
Perlu dicatat bahwa TA577 mengirimkan HTML berbahaya dalam arsip zip untuk menghasilkan file lokal di host.
Jika URI skema file dikirim langsung ke badan email, serangan tidak akan berfungsi pada klien email Outlook yang ditambal sejak Juli 2023.
Namun, URL ini tidak mengirimkan muatan malware apa pun, jadi tujuan utamanya tampaknya adalah mendapatkan hash NTLM.
Mencegah Pencurian Hash
Diketahui bahwa artefak spesifik yang ada di server SMB yang umumnya tidak standar, seperti toolkit sumber terbuka Ipacket, yang merupakan indikasi bahwa server tersebut digunakan dalam serangan phising.
Sebagai catatan agar pelaku ancaman dapat menggunakan hash curian ini untuk melanggar jaringan, autentikasi multi-faktor harus dinonaktifkan pada akun.
Peneliti berpendapat bahwa hash tersebut tidak dicuri untuk menembus jaringan, melainkan sebagai bentuk pengintaian untuk menemukan target yang berharga.
Meski demikian membatasi akses guest ke server SMB saja tidak mengurangi serangan TA577, karena ini memanfaatkan otentikasi otomatis ke server eksternal yang mengabaikan kebutuhan akses tamu.
Tindakan yang mungkin efektif adalah mengonfigurasi firewall untuk memblokir semua koneksi SMB keluar, menghentikan pengiriman hash NTLM.
Tindakan perlindungan lainnya adalah dengan menerapkan pemfilteran email yang memblokir pesan yang berisi file HTML yang di-zip, karena hal ini dapat memicu koneksi ke titik akhir yang tidak aman saat peluncuran.
Dimungkinkan juga untuk mengonfigurasi kebijakan grup Windows ‘Keamanan jaringan: Batasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh’ untuk mencegah pengiriman hash NTLM. Namun, hal ini dapat menyebabkan masalah autentikasi terhadap server yang sah.
Untuk organisasi yang menggunakan Windows 11, Microsoft memperkenalkan fitur keamanan tambahan bagi pengguna Windows 11 untuk memblokir serangan berbasis NTLM terhadap UKM, yang akan menjadi solusi efektif.
Demikian pembahasan mengenai email phising bajak akun, semoga informasi seputar keamanan dunia siber di atas dapat bermanfaat dan menambah wawasan.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: