Serangan XSS Ancaman Tersembunyi di Webmail Anda – Sednit adalah kelompok yang terkait dengan Rusia yang melakukan operasi spionase dengan menargetkan server webmail bernilai tinggi menggunakan serangan Cross-Site Scripting (XSS).

Serangan ini memanfaatkan kelemahan dalam kode layanan webmail. Ini memungkinkan penjahat siber untuk menyuntikkan skrip berbahaya mereka sendiri ke situs webmail yang berhasil dibobol.

Pembobolan semacam itu biasanya memungkinkan penyerang untuk mencuri pesan email korban dan informasi sensitif lainnya. Akses ini juga dapat disalahgunakan lebih lanjut untuk mengembangkan serangan siber bertahap seperti Business Email Compromise (BEC) (penipuan email bisnis) atau spear-phishing (email penipuan yang sangat ditargetkan).

Serangan XSS cukup populer di kalangan penjahat siber. Mereka terus-menerus berhasil menemukan kerentanan baru, sementara bisnis yang menggunakan server webmail seringkali gagal menambal bahkan kerentanan yang sudah diketahui.

Menurut laporan Forrester 2024, 22% pengambil keputusan keamanan yang melaporkan pembobolan melalui serangan eksternal mengidentifikasi eksploitasi aplikasi web sebagai titik masuk. Ini termasuk kelemahan keamanan umum seperti Cross-Site Scripting (XSS) dan SQL Injection (SQLi).

Operasi RoundPress: Studi Kasus Serangan Sednit

Pada tahun 2023, sebelum dimulainya operasi Sednit saat ini, Operation RoundPress, mereka memulai operasi yang disebut Roundcube. Selama tahun berikutnya, kampanye ini meluas ke perangkat lunak webmail populer lainnya, termasuk Horde, MDaemon, dan Zimbra.

Sebagian besar korbannya adalah entitas pemerintah dan perusahaan pertahanan di Eropa Timur, tetapi pemerintah di Afrika, Eropa, dan Amerika Selatan juga menjadi sasaran.

Secara umum, serangan yang diamati dimulai dengan email spear-phishing yang berisi berita tentang peristiwa penting yang biasanya terkait dengan Ukraina.

Kode berbahaya yang memicu kerentanan XSS ada di dalam kode HTML badan pesan email dan tidak langsung terlihat oleh pengguna. Untuk menyuntikkan kode JavaScript berbahaya ke halaman webmail korban, pengguna hanya perlu membuka email tersebut. Tidak lebih dari itu.

Penyerang sebagian besar mengeksploitasi kerentanan yang sudah diketahui yang ditemukan pada tahun 2023 dan 2024. Dalam kasus MDaemon, Sednit bahkan menggunakan kerentanan zero-day (kerentanan yang belum diketahui sebelumnya) yang belum pernah terdeteksi.

Tergantung pada layanan webmail dan kerentanan yang disalahgunakan, Operasi RoundPress mampu melakukan beberapa tindakan berbahaya berikut:

  • Pencurian kredensial (nama pengguna dan kata sandi)
  • Pencurian kontak, pengaturan, dan riwayat login
  • Pencurian pesan email
  • Pencurian rahasia otentikasi dua faktor (2FA)

Pembuatan kata sandi aplikasi, yang memungkinkan penyerang mengakses kotak surat dari aplikasi email dan mengirim serta menerima pesan, tanpa harus memasukkan kode 2FA, bahkan jika 2FA diaktifkan.

Kabar Baik

Setelah membaca tentang kemampuan penyerang mengakses email bisnis yang sensitif, pernyataan berikutnya mungkin terdengar mengejutkan, tapi ada beberapa kabar baik yang berasal dari operasi ini:

  1. Meskipun kerentanan dalam layanan webmail adalah masalah, begitu ditemukan, pengembang biasanya dapat menambalnya dengan cepat.
  2. Bisnis dapat menghindari banyak serangan ini hanya dengan memperbarui server webmail mereka. Ketika layanan webmail Anda merilis patch (perbaikan), terapkan sesegera mungkin.
  3. Untuk melancarkan serangan, pengguna yang ditargetkan harus dibujuk untuk membuka email tertentu di portal webmail yang rentan. Dengan RoundPress, email menggunakan judul berita yang meyakinkan.
  4. Pelatihan keamanan siber yang menyeluruh harus mendidik karyawan tentang cara mengenali dan menghindari email phishing. Lagipula, mengapa karyawan harus membaca berita yang muncul secara acak di email kantor mereka.
  5. Jika bisnis gagal menerapkan semua langkah pencegahan ini, mereka masih dapat menemukan perlindungan melalui solusi keamanan siber yang andal.

Dari pembahasan mengenai serangan XSS ancaman tersembunyi di webmail Anda di atas, semoga dapat menjadai wawasan baru dan bermanfaat.

Baca artikel lainnya:

Sumber berita:

Prosperita IT News