Waspadalah terhadap skema phishing SEABORGIUM jika Anda adalah klien Microsoft

Tepat ketika Anda berpikir bahwa yang terbaru Patch pembaruan keamanan Selasa menutupi hampir semua celah di jaringan pertahanan Microsoft, raksasa teknologi itu membawa berita yang lebih membingungkan.

Pusat Intelijen Ancaman perusahaan Redmond, atau MSTIC, telah mengeluarkan peringatan serius tentang kampanye phishing yang disebut SEABORGIUM.

Ini bukan hal baru bagi pakar keamanan, karena skema ini telah ada sejak tahun 2017, Microsoft membuat posting blog tentang SEABORGIUM.

Kami akan menunjukkan kepada Anda cara kerjanya dengan melihat beberapa panduan komprehensif yang dapat membantu calon korban menghindarinya.

Bagaimana skema phishing SEABORGIUM bekerja?

Kami tahu Anda sekarang mungkin bertanya-tanya apa yang membuat kampanye phishing ini begitu berbahaya bagi pengguna Microsoft.

Nah, Anda harus tahu bahwa sebenarnya itulah cara pihak ketiga yang jahat memulai serangan. Pertama, mereka terlihat melakukan pengintaian atau pengamatan menyeluruh terhadap calon korban menggunakan profil media sosial palsu.

Akibatnya, banyak alamat email juga dibuat untuk meniru identitas asli orang asli untuk menghubungi target yang dipilih.

Tidak hanya itu, email yang berpotensi berbahaya juga dapat berasal dari apa yang disebut perusahaan keamanan penting, menawarkan untuk mendidik pengguna tentang keamanan siber.

Microsoft juga menetapkan bahwa peretas SEABORGIUM mengirimkan URL berbahaya secara langsung dalam email atau melalui lampiran, sering kali meniru layanan hosting seperti OneDrive milik Microsoft.

Lebih lanjut, raksasa teknologi itu juga menguraikan penggunaan kit phishing EvilGinx dalam kasus ini yang digunakan untuk mencuri kredensial para korban.

Seperti yang dikatakan perusahaan, dalam kasus yang paling sederhana, SEABORGIUM secara langsung menambahkan URL ke badan email phishing mereka.

Namun, dari waktu ke waktu, pihak ketiga yang jahat memanfaatkan penyingkat URL dan pengalihan terbuka untuk mengaburkan URL mereka dari target dan platform perlindungan sebaris.

Email bervariasi antara korespondensi pribadi palsu dengan teks hyperlink dan email berbagi file palsu yang meniru berbagai platform.

Kampanye SEABORGIUM telah diamati menggunakan kredensial curian dan langsung masuk ke akun email korban.

Jadi, berdasarkan pengalaman para pakar keamanan siber yang menanggapi gangguan dari aktor ini atas nama pelanggan kami, perusahaan mengonfirmasi bahwa aktivitas berikut adalah hal yang umum:

• Eksfiltrasi data intelijen: SEABORGIUM telah diamati mengekstrak email dan lampiran dari kotak masuk korban.
• Penyiapan pengumpulan data persisten: Dalam kasus terbatas, SEABORGIUM telah diamati menyiapkan aturan penerusan dari kotak masuk korban ke akun dead drop yang dikendalikan aktor di mana aktor memiliki akses jangka panjang ke data yang dikumpulkan. Pada lebih dari satu kesempatan, kami telah mengamati bahwa para aktor dapat mengakses data milis untuk kelompok sensitif, seperti mereka sering dikunjungi oleh mantan pejabat intelijen, dan menyimpan kumpulan informasi dari milis untuk penargetan lanjutan dan eksfiltrasi.
• Akses ke orang-orang yang berkepentingan: Ada beberapa kasus di mana SEABORGIUM telah diamati menggunakan akun peniruan identitas mereka untuk memfasilitasi dialog dengan orang-orang tertentu yang menarik dan, sebagai hasilnya, terlibat dalam percakapan, terkadang tanpa disadari, yang melibatkan banyak pihak. Sifat percakapan yang diidentifikasi selama penyelidikan oleh Microsoft menunjukkan kemungkinan informasi sensitif yang dibagikan yang dapat memberikan nilai kecerdasan.

Apa yang dapat saya lakukan untuk melindungi diri saya dari SEABORGIUM?

Semua teknik yang disebutkan di atas yang menurut Microsoft digunakan oleh peretas sebenarnya dapat dikurangi dengan mengadopsi pertimbangan keamanan yang disediakan di bawah ini:

• Periksa pengaturan pemfilteran email Office 365 untuk memastikan Anda memblokir email palsu, spam, dan email dengan malware.
• Konfigurasikan Office 365 untuk menonaktifkan penerusan otomatis email.
• Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
• Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus khusus pada akun dikonfigurasi dengan otentikasi faktor tunggal, untuk mengonfirmasi keaslian dan menyelidiki anomali apa pun aktivitas.
• Memerlukan otentikasi multifaktor (MFA) untuk semua pengguna yang datang dari semua lokasi termasuk yang dirasakan lingkungan tepercaya, dan semua infrastruktur yang terhubung ke internet—bahkan yang berasal dari lokal sistem.
• Manfaatkan implementasi yang lebih aman seperti Token FIDO, atau Microsoft Authenticator dengan pencocokan angka. Hindari metode MFA berbasis telepon untuk menghindari risiko yang terkait dengan pembajakan SIM.

Untuk Pelanggan Microsoft Defender untuk Office 365:

• Gunakan Microsoft Defender untuk Office 365 untuk perlindungan dan cakupan phishing yang ditingkatkan terhadap ancaman baru dan varian polimorfik.
• Aktifkan pembersihan otomatis nol jam (ZAP) di Office 365 untuk mengkarantina email terkirim sebagai tanggapan atas ancaman yang baru didapat intelijen dan secara surut menetralisir pesan phishing, spam, atau malware berbahaya yang telah dikirimkan ke kotak surat.
• Konfigurasikan Defender untuk Office 365 untuk memeriksa ulang tautan saat diklik. Tautan Aman menyediakan pemindaian URL dan penulisan ulang pesan email masuk dalam aliran email, dan verifikasi waktu klik URL dan tautan dalam pesan email, aplikasi Office lainnya seperti Teams, dan lokasi lain seperti SharePoint Online. Pemindaian Tautan Aman terjadi selain perlindungan anti-spam dan anti-malware biasa dalam pesan email masuk di Exchange Online Protection (EOP). Pemindaian Tautan Aman dapat membantu melindungi organisasi Anda dari tautan berbahaya yang digunakan dalam phishing dan serangan lainnya.
• Gunakan Simulator Serangan di Microsoft Defender untuk Office 365 untuk menjalankan kampanye serangan kata sandi dan phishing yang realistis, namun aman, disimulasikan dalam organisasi Anda. Jalankan simulasi spear-phishing (penuaian kredensial) untuk melatih pengguna akhir agar tidak mengeklik URL dalam pesan yang tidak diminta dan mengungkapkan kredensial mereka.

Dengan semua ini dalam pikiran, Anda harus berpikir dua kali sebelum membuka semua jenis lampiran yang datang dalam email dari sumber yang dipertanyakan.

Anda mungkin berpikir klik sederhana tidak berbahaya, tetapi kenyataannya, hanya itu yang dibutuhkan penyerang untuk menyusup, berkompromi, dan memanfaatkan data Anda.

Apakah Anda melihat ada aktivitas yang mencurigakan akhir-akhir ini? Bagikan pengalaman Anda dengan kami di bagian komentar di bawah.