Active Campaigns menggunakan Infrastruktur Lainnya
Pelaku terlacak melakukan kampanye aktif lain yang dihosting di infrastruktur berbeda. Umpan phishing serupa digunakan melalui email pemberitahuan Microsoft palsu sebagai berikut:
Contoh email di atas terdiri dari URL dari 'r20.rs6[.]net/tn.jsp?f=001Uz_oasaa6a5lC37PPsB9z-ZgFhC1pGp9pnfq5i9xZtMr96zXrdKn8CQ58mxOBMHls4KIJEKQYKrQLyGkOHCRdhGHDbs4LbL1gJtM7flt rQaLHqyvPgU2KFr-8phP57bDerZR8leLarR6I9RLnaPQWwm4st97ysy8PS4QDUFp0RUz8i3kKSJWR5EpJgGZl_FrFM-GZz-8rNqTXqkMoLRu4g==&c=FMZVwwhlSnT_R6bt1c-Rusd1q6 UoQpgXeh7JNVlfAOelVYnB7At6tQ==&ch=I9P2kmoojtJjpthS-pAffdBgRQXjoCrnpX91-blhUzm_QvuiI-ireQ ==&__=?VGLn==' akhirnya mengarah ke www;.fixedrepo365[.]art/main.
Dalam hal ini, pengguna juga diarahkan ke halaman CAPTCHA awal. Jika URL diakses secara langsung, pengguna dialihkan ke halaman office[.]com yang ramah. Pelaku ancaman kemungkinan besar melacak jalur pengalihan yang benar untuk dimuat, berdasarkan input yang diharapkan diterima dari URL yang dialihkan sebelumnya dari domain r6[.]net.
URL tersebut terdiri dari string yang disandikan 64 bit di akhir URL yang dibagikan sebelumnya (disebutkan sebagai untuk alasan keamanan). Di jalur di mana ia mendapatkan pengalihan yang tepat dengan input alamat email, setelah pengguna memverifikasi CAPTCHA di atas yang kemungkinan disiapkan untuk menghindari kotak pasir, domain phishing membuka URL dengan halaman login Microsoft SSO palsu:
Jenis penghindaran dan pemeriksaan CAPTCHA ini disebutkan oleh Microsoft dalam temuan mereka tentang distribusi 'AiTM Phish kits'. Tampaknya pelaku ancaman terus berhasil menerapkan teknik tersebut dengan domain baru dan infrastruktur baru.
Domain phishing dalam hal ini (ww-wfixedrepo365[.]art) menggunakan server nama dnsowl[.]com dan registrar NameSilo. Dengan menyelidiki infrastruktur, dapat teridentifikasi IP lain, yaitu 37.120.234[.]53, 209.141.60[.]219 dan domain yang menggunakan kata kunci bertema Microsoft dan Office dalam namanya.
3. Kesimpulan dan Rekomendasi
Serangan phishing terus menimbulkan risiko keamanan besar bagi organisasi dari segala bentuk dan ukuran. Pelaku ancaman terus mengadopsi teknik penghindaran baru untuk meningkatkan tingkat keberhasilan dan menghindari deteksi dari vendor keamanan, melalui beberapa lapis pengalihan yang sah, verifikasi CAPTCHA, dan penyelubungan URL final. Beberapa cara yang dapat dilakukan untuk meningkatkan keamanan Organisasi atau perusahannya sebagai berikut.
- Selalu lakukan update perangkat lunak (software/operating system) secara berkala
- Gunakan Anti-virus dan firewall yang terupdate
- Selalu mengupdate informasi mengenai Cyber Threat Intelligence (CTI)
