- Peretas mengeksploitasi email SharePoint untuk mencuri kredensial dari perusahaan energi besar
- Penyerang membangun kegigihan dengan aturan kotak masuk dan gangguan MFA untuk mempertahankan akses
- Microsoft menyarankan kebijakan akses bersyarat dan MFA yang tahan phishing untuk pertahanan
Peretas, sekali lagi, menggunakan Bagikan Poin untuk menargetkan perusahaan energi besar, mencuri kredensial email karyawan, dan menyebarkan serangan lebih lanjut.
Ini menurut laporan baru dari Microsoftyang mengklaim “beberapa” organisasi besar di sektor energi telah menjadi sasaran.
Serangan dimulai dari yang telah dikompromikan sebelumnya akun email. Penjahat menggunakannya untuk kontak awal, mengirimkan email yang tampak sah dengan link SharePoint. Ketika diklik, tautan tersebut mengarahkan korban ke situs web pengambilan kredensial, di mana mereka diminta untuk masuk.
Apa yang harus dilakukan agar tetap aman
Korban yang mencoba masuk sebenarnya membagikan kredensial mereka dengan penyerang, yang mendapatkan akses ke akun email perusahaan sebenarnya, dan mengaksesnya dari alamat IP yang berbeda. Setelah itu, mereka melakukan beberapa langkah untuk membangun kegigihan sambil bersembunyi dari para korban.
Langkah-langkah tersebut termasuk membuat aturan kotak masuk untuk menghapus pesan masuk, dan menandai email sebagai telah dibaca.
Pada langkah terakhir, penyerang mengirimkan email phishing baru dalam jumlah besar ke kontak internal dan eksternal, serta daftar distribusi. Kotak masuk dipantau, kegagalan pengiriman dan email OOO dihapus dan, untuk menjaga kesan legitimasi, tanggapan dibacakan dan pertanyaan dijawab.
Microsoft tidak membagikan rincian tentang kampanye dan keberhasilannya. Kami tidak mengetahui jumlah pasti organisasi yang menjadi sasaran, atau berapa banyak orang yang kotak masuknya disusupi sebagai dampaknya.
Perusahaan menekankan bahwa bagi mereka yang disusupi, menyetel ulang kata sandi saja tidak akan cukup, karena para penjahat membuat aturan dan mengubah pengaturan yang memungkinkan persistensi bahkan ketika mereka disingkirkan.
“Bahkan jika kata sandi pengguna yang disusupi disetel ulang dan sesi dicabut, penyerang dapat menyiapkan metode persistensi untuk masuk dengan cara yang terkendali dengan merusak Kementerian Luar Negeri,” Microsoft memperingatkan.
“Misalnya, penyerang dapat menambahkan kebijakan MFA baru untuk masuk dengan kata sandi satu kali (OTP) yang dikirimkan ke nomor ponsel penyerang yang terdaftar. Dengan adanya mekanisme persistensi ini, penyerang dapat memiliki kendali atas akun korban meskipun ada tindakan remediasi konvensional.”
Selain MFA, Microsoft juga menyarankan kebijakan akses bersyarat yang dapat memicu alarm jika kondisi tertentu terpenuhi.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
