Microsoft Peringatkan Peningkatan Serangan Peniruan Identitas Helpdesk Melalui Teams

Microsoft kembali mengeluarkan peringatan keras terkait tren kejahatan siber terbaru. Aktor ancaman kini semakin sering menyalahgunakan fitur kolaborasi eksternal Microsoft Teams dan mengandalkan alat yang sah (legitimate tools) untuk mendapatkan akses serta melakukan pergerakan lateral (lateral movement) di dalam jaringan perusahaan.

Dalam modus operandi ini, peretas dengan cerdik menyamar sebagai staf TI atau layanan bantuan (helpdesk). Mereka menghubungi karyawan target melalui obrolan lintas organisasi (cross-tenant chats) dan menipu korban agar memberikan akses jarak jauh, yang pada akhirnya berujung pada pencurian data sensitif.

Microsoft telah mengamati berbagai intrusi dengan rantai serangan serupa yang menggunakan perangkat lunak manajemen jarak jauh komersial, seperti Quick Assist, dan utilitas Rclone untuk mentransfer fail ke layanan penyimpanan cloud eksternal.

Raksasa teknologi tersebut mencatat bahwa aktivitas berbahaya lanjutan ini sangat sulit dibedakan dari operasi normal harian perusahaan. Hal ini disebabkan oleh penggunaan besar-besaran aplikasi yang sah dan protokol administratif bawaan sistem.

Rantai Serangan Multi-Tahap

Dalam laporan terbarunya, Microsoft menguraikan rantai serangan sembilan tahap yang terstruktur dan sangat tersembunyi:

1. Kontak Awal: Serangan dimulai dengan pelaku menghubungi target melalui obrolan Teams eksternal. Mereka berlagak sebagai anggota staf TI perusahaan dan mengklaim perlu mengatasi masalah akun atau melakukan pembaruan keamanan mendesak.
2. Sesi Bantuan Jarak Jauh: Tujuan utama percakapan tersebut adalah untuk meyakinkan target agar memulai sesi dukungan jarak jauh, biasanya melalui aplikasi Quick Assist, yang secara efektif memberi penyerang kendali langsung atas mesin karyawan.
3. Pengintaian Cepat: Dari titik awal ini, penyerang melakukan pengintaian cepat menggunakan Command Prompt (CMD) dan PowerShell. Mereka memeriksa hak istimewa, keanggotaan domain, dan keterjangkauan jaringan untuk mengevaluasi potensi pergerakan lateral.
4. Penyebaran Muatan (Payload Drop): Penyerang kemudian meletakkan bundel muatan kecil di lokasi yang dapat ditulis pengguna (seperti ProgramData).
5. Eksekusi dan Injeksi: Mereka mengeksekusi kode berbahaya tersebut dengan membajak aplikasi tepercaya yang ditandatangani (signed application)—seperti perangkat lunak Autodesk, Adobe Acrobat/Reader, Windows Error Reporting, atau DLP—melalui teknik pemuatan sisi DLL (DLL side-loading).
6. Komunikasi C2 Terselubung: Komunikasi berbasis HTTPS ke server komando dan kontrol (C2) yang dibuat dengan cara ini akan menyatu dengan lalu lintas keluar (outbound traffic) normal perusahaan, membuatnya sangat sulit untuk dideteksi oleh sistem keamanan tradisional.
7. Modifikasi Registri: Setelah infeksi terjadi, penyerang mengamankan persistensi mereka melalui modifikasi Windows Registry.
8. Pergerakan Lateral (WinRM): Penyerang kemudian menyalahgunakan Windows Remote Management (WinRM) untuk bergerak secara lateral melintasi jaringan. Mereka secara spesifik menargetkan sistem yang bergabung dengan domain dan aset bernilai tinggi seperti pengontrol domain (domain controllers).
9. Eksfiltrasi Data (Rclone): Sebagai langkah pamungkas, mereka menyebarkan alat manajemen jarak jauh tambahan ke sistem yang dapat dijangkau dan menggunakan Rclone (atau alat serupa) untuk mengumpulkan dan mengeksfiltrasi data sensitif ke titik penyimpanan cloud eksternal.

Microsoft mencatat bahwa langkah eksfiltrasi ini dilakukan dengan sangat tertarget. Peretas menerapkan filter untuk hanya berfokus pada informasi yang berharga, mengurangi volume transfer, dan meningkatkan kerahasiaan operasional mereka.

Rekomendasi Keamanan Microsoft

Untuk memitigasi ancaman yang terus berkembang ini, Microsoft mengingatkan pengguna dan administrator untuk mengambil langkah-langkah pencegahan berikut:

• Anggap Tidak Tepercaya: Perlakukan kontak Teams eksternal sebagai entitas yang tidak tepercaya (untrusted) secara default.
• Batasi Alat Jarak Jauh: Administrator harus membatasi atau memantau dengan ketat penggunaan alat bantuan jarak jauh seperti Quick Assist.
• Kontrol WinRM: Batasi penggunaan WinRM hanya pada sistem yang dikontrol secara ketat.
• Perhatikan Peringatan Sistem: Perhatikan peringatan keamanan Teams bawaan yang secara eksplisit menandai komunikasi dari orang di luar organisasi sebagai potensi upaya phishing.