Microsoft mengatakan broker akses awal yang dikenal bekerja dengan kelompok ransomware baru-baru ini beralih ke serangan phising Microsoft Teams untuk menembus jaringan perusahaan.
Kelompok ancaman bermotif finansial di balik operasi ini dilacak sebagai Storm-0324, aktor jahat yang diketahui pernah menyebarkan ransomware Sage dan GandCrab di masa lalu.
FIN7
Storm-0324 juga memberikan akses kepada geng kejahatan dunia maya FIN7 yang terkenal ke jaringan perusahaan setelah meretasnya menggunakan JSSLoader, Gozi, dan Nymaim.
FIN7 (alias Sangria Tempest dan ELBRUS) terlihat menyebarkan ransomware Clop di jaringan korban. Menyebabkan kerugian besar.
Sebelumnya juga dikaitkan dengan ransomware Maze dan REvil sebelum operasi ransomware-as-a-service (Raas) BlackMatter dan DarkSide yang sekarang sudah tidak ada.
Storm-0324
“Pada Juli 2023, Storm-0324 mulai menggunakan umpan phishing yang dikirim melalui Teams dengan tautan berbahaya yang mengarah ke file berbahaya yang dihosting SharePoint,” menurut jubir Microsoft pada hari Selasa.
“Untuk aktivitas ini, Storm-0324 kemungkinan besar mengandalkan alat yang tersedia untuk umum yang disebut TeamsPhisher.”
Alat sumber terbuka ini memungkinkan penyerang melewati batasan file masuk dari penyewa eksternal dan mengirim lampiran phishing ke pengguna Teams.
Hal ini dilakukan dengan mengeksploitasi masalah keamanan di Microsoft Teams yang ditemukan oleh peneliti keamanan Jumpsec yang ditolak Microsoft.
Microsoft menolak atasi pada bulan Juli setelah mengatakan bahwa kelemahan tersebut “tidak memenuhi standar untuk segera diservis”.
Namun demikian, masalah ini juga dimanfaatkan oleh APT29, divisi peretasan Badan Intelijen Luar Negeri Rusia (SVR), dalam serangan terhadap puluhan organisasi, termasuk lembaga pemerintah di seluruh dunia.
Microsoft Respons
Meskipun Microsoft tidak memberikan rincian tentang tujuan akhir serangan Storm-0324 kali ini, serangan APT29 bertujuan untuk mencuri kredensial target setelah mengelabui mereka agar menyetujui perintah otentikasi multifaktor (MFA).
Saat ini, Microsoft mengatakan bahwa mereka telah berupaya menghentikan serangan ini dan melindungi pelanggan Teams.
Microsoft menangani operasi phishing ini dengan sangat serius dan telah meluncurkan beberapa perbaikan untuk lebih melindungi terhadap ancaman ini.
Pelaku ancaman yang menggunakan taktik phising Teams ini kini dikenali sebagai pengguna “EKSTERNAL” ketika akses eksternal diaktifkan dalam pengaturan organisasi.
Microsoft juga telah meluncurkan penyempurnaan pada pengalaman Terima/Blokir dalam obrolan satu lawan satu dalam Teams,
Untuk menekankan eksternalitas pengguna dan alamat email mereka agar pengguna berhati-hati dengan tidak berinteraksi dengan pengirim yang tidak dikenal atau berbahaya.
Microsoft meluncurkan pembatasan baru pada pembuatan domain dalam penyewa dan meningkatkan pemberitahuan kepada admin penyewa ketika domain baru dibuat dalam penyewa mereka.
Setelah mendeteksi serangan phishing Teams Storm-0324, Microsoft menangguhkan semua penyewa dan akun yang mereka gunakan dalam operasi tersebut.
Demikian informasi seputar kejahatan siber phising Microsoft Team, semoga dapat memberi pengetahuan baru di dunia siber.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita:
Prosperita IT News