Image credit: Freepix
Awas! Staf TI Palsu di Microsoft Teams – Kelompok ancaman yang baru teridentifikasi, UNC6692, terpantau melancarkan operasi serangan yang sangat terorganisi.
Menggunakan taktik rekayasa sosial yang cerdik, kelompok ini menyamar sebagai staf bantuan TI (IT helpdesk) untuk menyusup ke jaringan perusahaan besar.
Metode yang digunakan UNC6692 memiliki pola yang unik namun mematikan. Serangan dimulai dengan membanjiri kotak masuk target dengan ribuan email sampah (email bombing).
Saat korban merasa kewalahan dan panik, penyerang muncul di Microsoft Teams dengan pesan bantuan, menawarkan solusi untuk masalah pengeboman email tersebut.
Taktik ini sangat efektif karena penyerang datang sebagai “penyelamat” di tengah situasi yang mereka ciptakan sendiri.
|
Baca juga: Muslihat Kuda Kayu di Era Digital |
Toolkit Modular yang Berbahaya
Berbeda dengan kelompok lain yang meminta akses jarak jauh melalui alat seperti Quick Assist, UNC6692 mengarahkan korban untuk mengunduh apa yang mereka sebut sebagai “Mailbox Repair and Sync Utility v2.1.5”.
Namun, di balik nama tersebut, terdapat serangkaian malware modular yang bekerja secara sinergis:
- SNOWBELT: Sebuah ekstensi browser berbahaya berbasis Chromium yang dipasang secara paksa pada Microsoft Edge. Ekstensi ini bertindak sebagai pintu belakang (backdoor) berbasis JavaScript yang menerima perintah dari penyerang.
- SNOWGLAZE: Alat penterowongan (tunneler) berbasis Python yang membangun jalur komunikasi WebSocket terenkripsi dan terautentikasi antara jaringan internal korban dan server kontrol penyerang.
- SNOWBASIN: Komponen utama yang memungkinkan penyerang menjalankan perintah jarak jauh melalui cmd.exe atau powershell.exe, mengambil tangkapan layar, serta mengunggah atau mengunduh file secara bebas.
Data dari peneliti menunjukkan adanya tren yang mengkhawatirkan: sejak Maret 2026, sekitar 77% insiden sengaja menargetkan karyawan tingkat senior dan eksekutif.
Hal ini dilakukan karena akun eksekutif biasanya memiliki hak akses yang lebih luas dan informasi yang lebih sensitif untuk diperas.
Eskalasi Serangan dan Pencurian Data
Setelah berhasil menanamkan ekosistem SNOW di perangkat korban, UNC6692 akan melakukan pergerakan lateral untuk menguasai seluruh jaringan.
Mereka menggunakan skrip Python untuk memindai port kritis dan melakukan teknik Pass-The-Hash guna masuk ke pengendali domain (domain controllers).
Penyerang juga terlihat mengekstrak memori proses LSASS untuk mencuri kredensial tingkat tinggi, lalu menggunakan alat sah seperti FTK Imager untuk menangkap basis data Active Directory.
Data-data sensitif tersebut kemudian dikirim keluar melalui layanan penyimpanan awan sah milik pihak ketiga, sehingga aktivitas pencurian data ini sering kali tidak terdeteksi karena tersamar di antara lalu lintas awan yang normal.
Membentengi Saluran Komunikasi Kolaborasi
Kampanye UNC6692 membuktikan bahwa platform kolaborasi seperti Microsoft Teams kini telah menjadi permukaan serangan tingkat utama.
Untuk menghadapi ancaman yang menyamar sebagai rekan kerja atau staf TI ini, langkah-langkah perlindungan berikut menjadi sangat mendesak:
- Terapkan alur kerja verifikasi yang ketat bagi staf bantuan TI. Jangan pernah menyetujui permintaan obrolan atau undangan rapat dari akun di luar organisasi tanpa konfirmasi melalui saluran resmi kedua.
- Konfigurasikan pengaturan Microsoft Teams untuk membatasi komunikasi dengan domain eksternal yang tidak tepercaya dan batasi kemampuan berbagi layar.
- Mengingat banyaknya skrip yang digunakan dalam rantai serangan ini, pastikan kebijakan eksekusi PowerShell diatur pada tingkat yang paling aman dan dipantau secara ketat.
- Solusi keamanan dari ESET dapat membantu mendeteksi pemasangan ekstensi browser yang mencurigakan dan aktivitas penterowongan (tunneling) yang mencoba membangun koneksi keluar ke server yang tidak dikenal.
Penanganan di Balik Kedok Bantuan TI
Keberhasilan UNC6692 sangat bergantung pada manipulasi psikologis dan penyalahgunaan layanan awan sah yang tepercaya.
Di tahun 2026, kewaspadaan siber tidak lagi hanya terbatas pada tidak mengeklik tautan di email, tetapi juga mempertanyakan keabsahan bantuan yang ditawarkan melalui pesan instan.
Kelompok ini membuktikan bahwa taktik yang paling efektif adalah taktik yang mengeksploitasi sifat manusia untuk percaya pada otoritas TI.
Dengan membangun kesadaran kolektif dan menggunakan alat deteksi yang tepat, organisasi dapat memastikan bahwa platform kolaborasi mereka tetap menjadi sarana produktivitas, bukan jalur cepat bagi peretas untuk menguasai infrastruktur perusahaan.
Sumber berita:
