Maret 29, 2024
Artikel Keamanan cyber Teknologi

Peretas Menyalahgunakan Aplikasi Microsoft OAuth untuk Melanggar Akun Email Perusahaan

Pada hari Selasa, Microsoft mengumumkan bahwa mereka telah mengambil tindakan untuk menonaktifkan akun Microsoft Partner Network (MPN) palsu yang telah digunakan untuk membuat aplikasi OAuth berbahaya sebagai bagian dari kampanye phishing yang dimaksudkan untuk menyusup ke lingkungan cloud perusahaan dan mencuri email.

Perusahaan IT tersebut mengklaim bahwa pelaku penipuan “membangun aplikasi yang kemudian digunakan dalam kampanye phishing persetujuan, yang menipu pengguna agar mengizinkan akses ke aplikasi palsu”. “Kampanye phishing ini terutama menargetkan klien di Inggris Raya dan Irlandia.”

Phishing persetujuan adalah jenis serangan rekayasa sosial di mana pengguna dibujuk untuk memberikan izin ke aplikasi cloud berbahaya, yang selanjutnya dapat digunakan sebagai senjata untuk mengakses data pengguna yang aman dan cloud yang sah.
.A

Selain itu, Microsoft menyatakan bahwa mereka menambahkan lebih banyak langkah keamanan untuk memperkuat proses verifikasi yang terhubung dengan Program Mitra Cloud Microsoft (sebelumnya MPN) dan mengurangi kemungkinan aktivitas penipuan di masa mendatang.

Publikasi ini bertepatan dengan makalah Proofpoint yang menguraikan bagaimana pelaku ancaman berhasil menyusupi infrastruktur cloud perusahaan dengan memanfaatkan status Microsoft sebagai "penerbit bersertifikat".

Kampanye ini luar biasa karena efektif dalam mengelabui Microsoft untuk mendapatkan lencana biru yang divalidasi dengan meniru perusahaan terkenal.
Aplikasi OAuth nakal, menurut Proofpoint, memiliki "izin delegasi yang menjangkau jauh" yang mencakup membaca email, mengubah pengaturan kotak surat, dan mengakses file dan data lain yang ditautkan ke akun pengguna.

Juga dicatat bahwa, berbeda dengan kampanye sebelumnya yang mengkompromikan penerbit Microsoft yang sudah diverifikasi untuk mengeksploitasi kemampuan aplikasi OAuth, serangan terbaru dibuat untuk menyamar sebagai penerbit tepercaya untuk mendapatkan verifikasi dan menyebarkan aplikasi berbahaya.

Tiga dari aplikasi yang disebutkan di atas diberi nama "Single Sign-on (SSO)", dengan program ketiga mencoba untuk lulus sebagai perangkat lunak konferensi video dengan menggunakan istilah "Rapat".

Perusahaan yang sama menjadi sasaran ketiga aplikasi tersebut, yang dibuat oleh tiga penerbit terpisah dan menggunakan infrastruktur yang sama di bawah kendali penyerang.
Organisasi mungkin terpengaruh oleh akun pengguna yang diretas, eksfiltrasi data, pelanggaran merek oleh perusahaan penipu, penipuan kompromi email bisnis (BEC), dan penyalahgunaan kotak surat, menurut penyedia keamanan perusahaan.

Pada 27 Desember 2022, seminggu setelah Proofpoint memberi tahu Microsoft tentang serangan pada 20 Desember dan aplikasinya diblokir, kampanye tersebut dilaporkan telah berakhir.

Temuan menunjukkan tingkat kecanggihan yang digunakan untuk melakukan penyerangan, serta bagaimana langkah-langkah keamanan Microsoft dielakkan dan bagaimana kepercayaan pengguna pada vendor perusahaan dan penyedia layanan disalahgunakan.

Aplikasi OAuth palsu telah digunakan untuk menyerang layanan cloud Microsoft. Proofpoint menjelaskan aktivitas ancaman tambahan yang dikenal sebagai OiVaVoii pada Januari 2022 yang menargetkan eksekutif senior dalam upaya untuk mendapatkan kekuasaan.
Kemudian, pada September 2022, Microsoft mengungkapkan bahwa mereka telah menghentikan serangan yang menggunakan aplikasi OAuth jahat yang dipasang di penyewa cloud yang terinfeksi untuk akhirnya mengambil alih server Exchange dan mengirimkan spam.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

id_IDBahasa Indonesia