Microsoft: Tim semakin banyak disalahgunakan dalam serangan peniruan identitas helpdesk

Microsoft memperingatkan akan semakin banyaknya pelaku ancaman yang menyalahgunakan kolaborasi eksternal Microsoft Teams dan mengandalkan alat yang sah untuk akses dan pergerakan lateral di jaringan perusahaan.

Para peretas menyamar sebagai staf TI atau meja bantuan untuk menghubungi karyawan melalui obrolan lintas penyewa dan mengelabui mereka agar menyediakan akses jarak jauh untuk tujuan pencurian data.

Microsoft telah mengamati beberapa intrusi dengan rantai serangan serupa yang menggunakan perangkat lunak manajemen jarak jauh komersial, seperti Quick Assist, dan utilitas Rclone untuk mentransfer file ke layanan penyimpanan cloud eksternal.

Raksasa teknologi ini mencatat bahwa aktivitas jahat selanjutnya sulit dibedakan dari operasi normal karena banyaknya penggunaan aplikasi yang sah dan protokol administratif asli.

“Pelaku ancaman semakin banyak menyalahgunakan kolaborasi eksternal Microsoft Teams untuk menyamar sebagai personel TI atau pusat bantuan dan meyakinkan pengguna untuk memberikan akses bantuan jarak jauh,” kata Microsoft.

“Dari pijakan awal ini, penyerang dapat memanfaatkan alat tepercaya dan protokol administratif asli untuk bergerak secara lateral di seluruh perusahaan dan menyiapkan data sensitif untuk eksfiltrasi—seringkali digabungkan dengan aktivitas dukungan TI rutin sepanjang siklus intrusi,” tambah perusahaan tersebut.

Serangan multi-tahap

Dalam laporan terbarunya, Microsoft menjelaskan rantai serangan sembilan tahap yang dimulai dengan pelaku ancaman menghubungi target melalui obrolan Teams eksternal, menyamar sebagai anggota staf TI perusahaan dan mengklaim bahwa mereka perlu mengatasi masalah akun atau melakukan pembaruan keamanan.

Tujuannya adalah meyakinkan target untuk memulai sesi dukungan jarak jauh, biasanya melalui Quick Assist, yang memberikan penyerang kendali langsung atas mesin karyawan.

Dari sana, penyerang melakukan pengintaian cepat menggunakan Command Prompt dan PowerShell, memeriksa hak istimewa, keanggotaan domain, dan jangkauan jaringan untuk mengevaluasi potensi pergerakan lateral.

Kemudian mereka menjatuhkan bundel payload kecil di lokasi yang dapat ditulis pengguna seperti ProgramData dan mengeksekusi kode berbahaya melalui aplikasi yang tepercaya dan ditandatangani (misalnya, Autodesk, Adobe Acrobat/Reader, Windows Error Reporting, perangkat lunak pencegahan kehilangan data) melalui side-loading DLL.

Komunikasi berbasis HTTPS ke perintah dan kontrol (C2) yang dibuat dengan cara ini menyatu dengan lalu lintas keluar normal, sehingga lebih sulit dideteksi.

Dengan infeksi yang terjadi dan persistensi diamankan melalui modifikasi Windows Registry, penyerang mulai menyalahgunakan Windows Remote Management (WinRM) untuk bergerak secara lateral di seluruh jaringan, menargetkan sistem yang bergabung dengan domain dan aset bernilai tinggi seperti pengontrol domain.

Mereka kemudian menerapkan perangkat lunak manajemen jarak jauh tambahan ke sistem yang dapat dijangkau dan menggunakan Rclone atau alat serupa untuk mengumpulkan dan menyaring data sensitif ke titik penyimpanan cloud eksternal.

Microsoft catatan bahwa langkah eksfiltrasi ini lebih tepat sasaran, menggunakan filter untuk fokus hanya pada informasi berharga, mengurangi volume transfer, dan meningkatkan kerahasiaan operasional.

Microsoft mengingatkan pengguna untuk memperlakukan kontak Teams eksternal sebagai tidak tepercaya secara default, dan merekomendasikan agar administrator membatasi atau memantau dengan cermat alat bantuan jarak jauh, dan membatasi penggunaan WinRM pada sistem yang dikontrol.

Selain itu, perusahaan juga memperhatikan peringatan keamanan Teams yang secara eksplisit menandai komunikasi dari orang di luar organisasi dan potensi upaya phishing.