Scroll untuk baca artikel
Networking

Vishing pendaftaran kunci sandi masuk menargetkan pengguna Microsoft 365

2
×

Vishing pendaftaran kunci sandi masuk menargetkan pengguna Microsoft 365

Share this article
vishing-pendaftaran-kunci-sandi-masuk-menargetkan-pengguna-microsoft-365
Vishing pendaftaran kunci sandi masuk menargetkan pengguna Microsoft 365

Vishing pendaftaran kunci sandi masuk menargetkan pengguna Microsoft 365

Pelaku ancaman telah menargetkan organisasi di berbagai sektor dengan permintaan keamanan palsu berbasis suara yang meminta pengguna Microsoft 365 mendaftarkan kunci sandi Entra baru.

Example 300x600

Penyerang mengambil keuntungan dari kemampuan baru yang dibuka Microsoft untuk administrator pada bulan Mei, yang memungkinkan mereka menjalankan “kampanye pendaftaran kunci sandi” untuk menarik pengguna agar mendaftarkan kunci sandi untuk otentikasi yang lebih aman.

Kampanye ini telah berjalan sejak bulan April dan melibatkan panggilan pengguna yang ditargetkan dan mencoba meyakinkan mereka untuk mendaftarkan kunci sandi baru di bawah kendali penyerang.

gambar

Untuk menutupi penipuan tersebut, peretas mengarahkan korbannya ke perangkat phishing yang meniru proses pendaftaran kunci sandi Microsoft yang sah.

Perusahaan manajemen identitas dan akses (IAM) berbasis cloud, Okta, mengaitkan aktivitas tersebut dengan aktor yang dilacaknya sebagai O-UNC-066, yang mengoperasikan operasi pemerasan yang dikenal sebagai Pink.

Okta mengatakan bahwa O-UNC-066 telah menyasar pengguna di organisasi-organisasi di industri makanan dan minuman, teknologi, perawatan kesehatan, otomotif, konstruksi, dan penerbangan.

Tipuan peningkatan keamanan

Selama kampanye, karyawan yang menjadi sasaran dihubungi melalui telepon dengan dalih bahwa mereka harus mendaftarkan kunci sandi Microsoft Entra baru untuk alasan keamanan dan diarahkan ke URL phishing yang mengandung kata “kunci sandi” di nama domain.

Situs web jahat tersebut menyertakan merek organisasi korban dan meniru portal pendaftaran kunci sandi Entra yang sebenarnya.

Berbeda dengan proxy adversary-in-the-middle (AiTM) yang lebih umum, kit ini adalah panel PHP yang dikendalikan operator di mana penyerang memandu korban melalui proses phishing secara real-time, mengadaptasi alurnya berdasarkan metode otentikasi multi-faktor (MFA) yang digunakan.

“[The phishing kit] adalah panel PHP yang dikendalikan operator di mana pelaku ancaman mengarahkan korban melalui berbagai tahap otentikasi hampir secara real-time menggunakan mekanisme polling detak jantung 1 detik,” jelas Okta.

“Operator dapat menggunakan kit ini untuk menyesuaikan pengalaman pengguna dengan persyaratan MFA masing-masing korban (TOTP, pemberitahuan push dengan pencocokan nomor, SMS OTP) selama sesi.”

Kredensial dan tanggapan MFA yang dimasukkan oleh korban di layar kit diteruskan ke operator, yang menggunakannya untuk mengautentikasi ke akun Microsoft korban.

Halaman pembuatan kunci sandi palsu
Halaman pembuatan kunci sandi palsu
Sumber: Okta

Meskipun korban yakin bahwa mereka mendaftarkan kunci sandi baru di akun mereka, penyerang sebenarnya mendaftarkan kunci sandi yang mereka kendalikan.

Setelah mendapatkan akses, situs phishing menyajikan kepada korban halaman pendaftaran kunci sandi palsu bermerek Microsoft, meminta mereka untuk menyimpan frasa pemulihan BIP-39 palsu dan mengonfirmasi satu kata darinya.

Frasa pemulihan palsu
Frasa pemulihan palsu
Sumber: Okta

Okta mencatat bahwa frase awal BIP-39 tidak memiliki peran apa pun dalam pendaftaran kunci sandi Microsoft Entra yang sah, namun dapat berfungsi sebagai gangguan bagi pengguna yang tidak terbiasa dengan proses tersebut.

Geng pemerasan merah muda

Menurut Palo Alto Networks Unit 42, Pink adalah merek pemerasan baru yang berafiliasi dengan jaringan ancaman terdesentralisasi yang dikenal sebagai The Com (kependekan dari The Community).

Pelaku ancaman ini dikenal menggunakan vishing (phishing suara) dan peniruan identitas TI untuk mengumpulkan kredensial dan kode autentikasi multi-faktor (MFA), yang digunakan dalam serangan yang mencuri data perusahaan.

Kelompok ancaman Pink meluncurkan situs pemerasan pada tanggal 31 Mei, di mana mereka mempublikasikan sampel data yang dicuri untuk menekan korban agar membayar uang tebusan.

Situs pemerasan Pink
Situs pemerasan Pink
Sumber: Okta

Peneliti mengatakan bahwa setelah mendapatkan akses ke akun korban, Pink bergerak cepat untuk mengambil data dari layanan SharePoint dan OneDrive.

Brad Duncan, Peneliti Ancaman Utama di Palo Alto Networks Unit 42, mencatat pada awal Juni bahwa beberapa domain phishing yang digunakan oleh Pink termasuk kata “kunci sandi”.

Okta merekomendasikan agar organisasi menetapkan metode untuk memverifikasi identitas personel pusat bantuan dengan lebih baik saat menghubungi pengguna, serta menolak permintaan dari lokasi di mana perusahaan tidak menawarkan layanan.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya