Kelompok peretasan yang terkait dengan pemerintah Rusia membidik lusinan organisasi global untuk mencuri kredensial login. Para peretas tersebut berlagak sebagai tim dukungan teknis Microsoft dan berbincang dengan pengguna melalui aplikasi Teams, kata peneliti Microsoft pada Rabu (2/8).
Serangan sosial rekayasa "dengan target yang sangat tertentu" tersebut mempengaruhi "kurang dari 40 organisasi unik global" sejak akhir Mei, menurut para peneliti Microsoft dalam sebuah blog, dan perusahaan sedang melakukan investigasi terkait masalah ini.
Kedutaan Rusia di Washington tidak segera menanggapi permintaan komentar.
Peretas menyiapkan domain dan akun yang tampak seperti dukungan teknis. Lalu, para peretas menghubungi para pengguna Teams melalui layanan obroal dan membujuk mereka untuk menyetujui permintaan autentikasi multifaktor (MFA), kata para peneliti.
"Microsoft telah memitigasi aktor dari menggunakan domain dan terus menyelidiki aktivitas ini dan bekerja untuk memulihkan dampak serangan itu," tambah mereka.
Teams adalah platform komunikasi bisnis milik Microsoft, dengan lebih dari 280 juta pengguna aktif, menurut laporan keuangan perusahaan pada Januari.
MFA adalah tindakan keamanan yang direkomendasikan secara luas yang ditujukan untuk mencegah peretasan atau pencurian kredensial. Namun, serangan yang ditargetkan pada Microsoft Teams menunjukkan bahwa para peretas terus mencari cara baru untuk dapat menembus keamanan aplikasi itu.
Kelompok peretas di balik aktivitas tersebut, yang dikenal di industri sebagai Midnight Blizzard atau APT29, berbasis di Rusia. Pemerintah Inggris dan Amerika Serikat (AS) menghubungkan keberedaan organisasi tersebut dengan dinas intelijen asing negara itu, kata para peneliti.
"Organisasi-organisasi yang menjadi target dalam aktivitas ini kemungkinan menunjukkan tujuan spionase khusus yang dilakukan Midnight Blizzard yang ditujukan kepada pemerintah, organisasi non-pemerintah (NGO), layanan TI, sektor teknologi, manufaktur diskret, dan media," ujar meraka tanpa menyebutkan nama target-target tersebut.
"Serangan terbaru ini, dikombinasikan dengan aktivitas masa lalu, lebih lanjut menunjukkan eksekusi tujuan Midnight Blizzard yang berkelanjutan menggunakan teknik baru dan umum," tulis para peneliti.
Midnight Blizzard diketahui menargetkan organisasi semacam itu, terutama di AS dan Eropa, sejak 2018, tambah mereka.
Para peretas menggunakan akun Microsoft 365 milik bisnis kecil yang sudah diretas untuk membuat domain-domain baru yang tampaknya merupakan entitas dukungan teknis dan mengandung kata "microsoft" di dalamnya, sesuai dengan informasi yang tertera di blog Microsoft. Akun yang terhubung dengan domain-domain ini kemudian mengirimkan pesan phishing untuk menarik perhatian orang melalui Teams, demikian disampaikan oleh para peneliti. [ah/ft]
Forum