Scroll untuk baca artikel
Networking

Panggilan dukungan TI palsu di Microsoft Teams mendorong malware EtherRAT

5
×

Panggilan dukungan TI palsu di Microsoft Teams mendorong malware EtherRAT

Share this article
panggilan-dukungan-ti-palsu-di-microsoft-teams-mendorong-malware-etherrat
Panggilan dukungan TI palsu di Microsoft Teams mendorong malware EtherRAT

Tim Microsoft

Pelaku ancaman menyalahgunakan panggilan suara Microsoft Teams dengan menyamar sebagai staf dukungan TI perusahaan untuk mengelabui karyawan agar menginstal malware EtherRAT, sehingga memberikan penyerang akses awal ke jaringan perusahaan.

Example 300x600

Kampanye tersebut, yang dilaporkan oleh Unit 42 Palo Alto Networks, menggabungkan email phishing, panggilan suara Microsoft Teams, alat manajemen jarak jauh yang sah, dan pemuat malware berbasis Node.js untuk menyusupi komputer korban.

Menurut a laporan oleh Unit 42 diposting di GitHub, serangan dimulai dengan email phishing yang berisi umpan “Survei Karyawan” dan lampiran PDF berbahaya.

gambar

Tak lama setelah membuka dokumen, korban menerima panggilan suara Microsoft Teams dari akun eksternal yang menyamar sebagai “Administrator Sistem”.

Para peneliti mengamati sesi Teams yang menampilkan label “Eksternal tidak dikenal”, yang menunjukkan bahwa penelepon berasal dari penyewa Microsoft 365 yang berbeda dengan penerima. Log audit menunjukkan penyerang memulai obrolan eksternal menggunakan akun helpdesk@Progressive936.onmicrosoft[.]com sambil menyamar sebagai dukungan TI.

Setelah meyakinkan korban untuk memberikan kendali jarak jauh melalui fitur berbagi layar bawaan Microsoft Teams, penyerang memandu mereka dengan memasang alat akses jarak jauh yang sah, termasuk HopToDesk dan AnyDesk.

Setelah membuat akses jarak jauh, mereka mengunduh dan menjalankan penginstal MSI berbahaya (v7.msi) dari camorreado[.]klik. MSI bertindak sebagai pemuat malware, mengunduh runtime Node.js yang sah, mendekripsi muatan yang tertanam, dan pada akhirnya meluncurkan EtherRAT.

EtherRAT adalah trojan akses jarak jauh lintas platform yang ditulis dalam Node.js yang memberikan penyerang kendali penuh atas sistem yang disusupi.

Malware ini dapat menjalankan perintah, memanipulasi file, mencuri data, dan mempertahankan persistensi, sambil menggunakan kontrak pintar Ethereum untuk mengambil kembali server perintah dan kontrol (C2) yang aktif, sehingga lebih sulit untuk diganggu.

EtherRAT dulu sebelumnya digunakan dalam serangan yang disponsori negara mengeksploitasi kerentanan React2Shell dan sejak itu telah diadopsi oleh banyak pelaku ancaman lainnya.

Unit 42 mengatakan mereka menemukan direktori terbuka di server distribusi yang berisi beberapa versi penginstal malware (v1 hingga v9), yang menunjukkan bahwa kampanye tersebut sedang dikembangkan secara aktif.

Serangan tim memaksa Microsoft menambahkan perlindungan baru

Kampanye terbaru ini menyusul meningkatnya jumlah serangan yang menyalahgunakan Microsoft Teams untuk menembus jaringan perusahaan.

Pada bulan Maret, a kampanye menargetkan organisasi keuangan dan layanan kesehatan dengan membanjiri kotak masuk korban dengan spam, lalu menghubungi mereka melalui Microsoft Teams, menyamar sebagai staf TI perusahaan. Korban ditipu untuk meluncurkan sesi Quick Assist yang pada akhirnya mengarah pada penyebaran malware A0Backdoor yang baru didokumentasikan.

Sebulan kemudian, Microsoft memperingatkan bahwa ada penyerang semakin menyalahgunakan Microsoft Teams eksternal untuk menyamar sebagai personel pusat bantuan dan meyakinkan karyawan untuk memberi mereka akses jarak jauh ke perangkat mereka. Begitu berada di dalam jaringan, penyerang melakukan pengintaian, menyebar secara lateral ke perangkat lain, dan akhirnya mencuri data.

Untuk membantu mempertahankan diri dari serangan ini, Microsoft telah menambahkan perlindungan baru ke Teams.

Awal tahun ini, perusahaan menambahkan peringatan yang mengidentifikasi penelepon dan obrolan eksternal untuk melindungi terhadap potensi serangan phishing/vishing.

Pekan lalu, Microsoft juga memperkenalkan kebijakan administrator Teams baru yang otomatis menempatkan orang yang dicurigai sebagai bot pihak ketiga ke dalam lobi pertemuan sampai penyelenggara dapat menyetujui penerimaan mereka secara manual.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya