Mohon tunggu...
Abdul Azzam Ajhari
Abdul Azzam Ajhari Mohon Tunggu... Ilmuwan - Manggala Informatika pada Badan Siber dan Sandi Negara

Abdul Azzam Ajhari atau biasa dipanggil Azzam berprofesi sebagai Pegawai Negeri Sipil (PNS) dengan pekerjaan sebagai Manggala Informatika di Badan Siber dan Sandi Negara (BSSN). Berkecimpung dan menekuni dunia penelitian sejak tahun 2019 yang menghasilkan beberapa karya penelitian serta Hak Atas Kekayaan Intelektual (HAKI) Artificial Intelligence, Machine Learning, dan Deep Learning di bidang keamanan siber yang dapat diakses pada link berikut https://linktr.ee/abdulazzamajhari

Selanjutnya

Tutup

Ilmu Alam & Tekno Pilihan

Bahaya Jenis Phishing Baru "Open Redirect" pada Microsoft Office 365

3 Juni 2023   10:30 Diperbarui: 3 Juni 2023   18:00 408
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Bagikan ide kreativitasmu dalam bentuk konten di Kompasiana | Sumber gambar: Freepik

Pada bulan Februari 2023, kerentanan BIG-IP CVE-2023-22418 dilaporkan tentang server virtual yang diaktifkan dengan kebijakan akses AIM BIG-IP yang memungkinkan penyerang membuat URL pengalihan terbuka. Ada kemungkinan bahwa kerentanan disalahgunakan dalam kasus ini untuk dialihkan ke domain perantara.

Pengalihan kedua terjadi saat URL yang dihosting di "frudyj.codesandbox[.]io" menggunakan 'windows.location.replace' dalam respons Javascript untuk mengalihkan ke halaman phishing yang dihosting di "gw8aes.office-docs[.]net":

sumber gambar: Silent Push
sumber gambar: Silent Push

Dengan menambahkan server pengalihan tambahan, pelaku ancaman memastikan bahwa domain phishing tidak terlihat melalui analisis URL awal dari solusi keamanan, menggunakan daftar hitam untuk domain phishing yang diketahui. Infrastruktur phishing terakhir dihosting di ruang server nama Cloudflare, dan ASN dengan pendaftar 'NICENIC INTERNATIONAL GROUP CO., LIMITED'.

Untuk menghindari analisis sandbox, URL phishing mencoba memvalidasi interaksi manusia dengan menggunakan layanan CAPTCHA sebelum memuat konten phishing yang sebenarnya.

sumber gambar: Silent Push
sumber gambar: Silent Push

Pelaku ancaman menggunakan informasi registrar dan ASN, bersama dengan kata kunci khas untuk domain M365, dapat diidentifikasi lebih banyak IOC yang ditautkan ke varian kampanye ini, beberapa di antaranya masih memuat CAPTCHA dan halaman phishing serupa pada saat penulisan.

2. Neighbouring Campaigns

Merupakan suatu kampanye spoofing notifikasi Microsoft serupa yang terlacak menggunakan layanan Cloudflare CDN. Kampanye ini pertama kali diamati pada awal 2023 dan terlihat menggunakan domain yang terdaftar di pencatat Rusia 'R01-RU' dengan TLD '.ru' dan menggunakan CDN Cloudflare. Kampanye ini pertama kali dicatat di Twitter pada 10 Januari:

sumber gambar: Silent Push
sumber gambar: Silent Push

Investigasi infrastruktur mengungkapkan pola domain TLD '.ru' yang terlibat dalam kampanye phishing serupa. Setiap domain mendaftarkan beberapa subdomain dengan awalan alfanumerik acak 23 karakter yang digunakan. Operator phishing terus memilih dari kumpulan subdomain yang terdaftar pada setiap domain. 

Meskipun awalnya memuat tanpa CAPTCHA, semua iterasi terbaru menyertakan pemeriksaan serupa sebelum memuat laman phishing yang sama sebagai berikut:

HALAMAN :
  1. 1
  2. 2
  3. 3
  4. 4
Mohon tunggu...

Lihat Konten Ilmu Alam & Tekno Selengkapnya
Lihat Ilmu Alam & Tekno Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun