Credit image: Freepix
Panggilan Palsu Senjata Baru Pencurian Data – Belakangan ini, kelompok afiliasi ransomware bernama 3AM melancarkan serangan yang sangat terarah, menggunakan taktik kombinasi email bombing dan panggilan telepon palsu yang menyamar sebagai dukungan IT.
Tujuannya jelas, memanipulasi karyawan secara sosial agar menyerahkan kredensial akses jarak jauh ke sistem perusahaan. Taktik cerdik ini sebelumnya dikaitkan dengan geng ransomware Black Basta dan kemudian diamati dalam serangan FIN7.
Namun karena efektivitasnya, kini semakin banyak penjahat siber yang mengadopsinya. Peneliti melaporkan telah melihat setidaknya 55 serangan yang memanfaatkan teknik ini antara November 2024 dan Januari 2025, yang terkait dengan dua kelompok ancaman berbeda.
Serangan-serangan ini mengikuti playbook (strategi) Black Basta, termasuk pemboman email, vishing (penipuan suara) melalui Microsoft Teams, dan penyalahgunaan Quick Assist.
Bocornya percakapan internal Black Basta bahkan membantu pelaku lain untuk mempelajari trik ini, karena di dalamnya terdapat template yang bisa digunakan saat serangan phising Microsoft Teams yang menyamar sebagai layanan bantuan IT.
Serangan ransomware 3AM, menggunakan pendekatan serupa tetapi dengan twist berupa phising telepon sungguhan alih-alih melalui Microsoft Teams.
|
Baca juga: Apa Itu Spoofing? |
Modus Operandi: Telepon Palsu dan Akses Canggih
Dalam serangan tersebut, pelaku ancaman memalsukan nomor telepon departemen IT asli target untuk membuat panggilan terlihat sah.
Panggilan ini terjadi bersamaan dengan gelombang email bombing, di mana 24 email tidak diminta diterima hanya dalam tiga menit.
Penyerang berhasil meyakinkan karyawan untuk membuka Microsoft Quick Assist dan memberikan akses jarak jauh, dengan dalih merespons aktivitas mencurigakan yang sebenarnya mereka buat sendiri.
Setelah mendapatkan akses, penyerang mengunduh dan mengekstrak arsip berbahaya dari domain palsu. Arsip ini berisi skrip VBS, emulator QEMU, dan image Windows 7 yang sudah dimuat dengan backdoor QDoor.
QEMU digunakan untuk menghindari deteksi dengan merutekan lalu lintas jaringan melalui mesin virtual yang dibuat pada platform tersebut, memungkinkan akses persisten namun tidak terdeteksi ke jaringan.
Melalui cara ini, pelaku melakukan pengintaian menggunakan WMIC dan PowerShell, membuat akun administrator lokal untuk terhubung melalui RDP, menginstal alat RMM (Remote Monitoring and Management) komersial XEOXRemote, dan bahkan berhasil mengkompromikan akun administrator domain.
Lebih dari itu, Penyerang berhasil mengeksfiltrasi 868 GB data ke penyimpanan cloud Backblaze menggunakan alat GoodSync.
Serangan ini berlangsung selama 9 hari, dengan pencurian data selesai pada hari ketiga, dan pelaku ancaman kemudian berhasil diblokir untuk tidak menyebar lebih jauh.
|
Baca juga: Metode Serangan Phising Deepfake |
Pertahanan Terhadap Serangan Canggih
Peneliti keamanan siber menyarankan beberapa langkah pertahanan yang dapat diambil untuk memblokir serangan semacam ini:
- Lakukan audit rutin pada akun administratif untuk mengidentifikasi kelemahan keamanan.
- Manfaatkan alat Extended Detection and Response (XDR) untuk memblokir alat sah yang tidak disetujui seperti QEMU dan GoodSync jika digunakan secara anomali.
- Terapkan kebijakan eksekusi PowerShell yang hanya mengizinkan skrip yang ditandatangani.
- Manfaatkan IoC yang tersedia untuk menyiapkan blocklist guna mencegah intrusi dari sumber berbahaya yang diketahui.
- Pada akhirnya, email bombing dan voice phising hanya dapat diblokir secara efektif dengan meningkatkan kesadaran karyawan. Operasi ransomware 3AM sendiri diluncurkan pada akhir 2023 dan kemudian dikaitkan dengan geng ransomware Conti dan Royal. Ini menunjukkan betapa cepatnya taktik serangan berevolusi dan perlunya kewaspadaan serta pelatihan yang berkelanjutan bagi setiap individu dalam organisasi.
Sumber berita:
