Kerentanan open redirect terjadi saat penyerang membuat URL di dalam aplikasi yang memicu pengalihan ke domain eksternal arbitrer (sewenang-wenang), seperti situs phishing. Teknik open redirect sering ditampilkan dalam email phishing, tetapi serangkaian serangan baru telah menyempurnakan pendekatan tersebut dengan menyalahgunakan domain yang sah seperti citi[.]com dan melakukan banyak lompatan dalam proses pengalihan. Beberapa tipe phishing yang dilakukan dijelaskan sebagai berikut
1. Pemalsuan Halaman Login
Silent Push salah satu penyedia Cyber Threat Intelligence (CTI) telah melacak berbagai kampanye phishing yang memalsukan halaman login Microsoft Office 365 (M365) sebagai halaman phishing terakhir untuk menargetkan pengguna perusahaan. Pelaku ancaman menyamar sebagai Microsoft dan menggunakan gambarnya untuk memberikan notifikasi melalui email, untuk memikat pengguna agar mengklik hyperlink yang disematkan dalam file gambar.
Dapat diamati bahwa penyerang sering kali menggunakan situs web yang sah untuk mengalihkan ke 'cushion servers' perantara yang dikendalikan oleh pelaku ancaman, yang mengarah ke URL phishing final dengan login Microsoft palsu.
Dalam salah satu kasus yang diselidiki, email phishing menggunakan iming-iming Undelivered Mails' yang mendorong pengguna untuk mengklik "Release My Messages", yang memicu serangkaian pengalihan HTTP dan Javascript:
Infrastruktur Penyerang
Untuk menghindari solusi keamanan, pelaku ancaman menggunakan domain yang sah sebagai pengaturan pengalihan awal. Dalam hal ini, URL pertama menggunakan subdomain dari domain Fortune 500 yang sah untuk menggunakan pengalihan 302 ke URL perantara yang dihosting di frudyj.codesandbox[.]io:
Dari informasi pengayaan yang disimpan di aplikasi didapatkan detail berikut tentang IP:
ASN: ASN-CHEETA-MAIL, AS
Header Server: BigIP
Dari header server HTTP dan cookie, kita dapat melihat bahwa layanan BIG-IP sedang digunakan.
Pada bulan Februari 2023, kerentanan BIG-IP CVE-2023-22418 dilaporkan tentang server virtual yang diaktifkan dengan kebijakan akses AIM BIG-IP yang memungkinkan penyerang membuat URL pengalihan terbuka. Ada kemungkinan bahwa kerentanan disalahgunakan dalam kasus ini untuk dialihkan ke domain perantara.
Pengalihan kedua terjadi saat URL yang dihosting di "frudyj.codesandbox[.]io" menggunakan 'windows.location.replace' dalam respons Javascript untuk mengalihkan ke halaman phishing yang dihosting di "gw8aes.office-docs[.]net":
Dengan menambahkan server pengalihan tambahan, pelaku ancaman memastikan bahwa domain phishing tidak terlihat melalui analisis URL awal dari solusi keamanan, menggunakan daftar hitam untuk domain phishing yang diketahui. Infrastruktur phishing terakhir dihosting di ruang server nama Cloudflare, dan ASN dengan pendaftar 'NICENIC INTERNATIONAL GROUP CO., LIMITED'.
Untuk menghindari analisis sandbox, URL phishing mencoba memvalidasi interaksi manusia dengan menggunakan layanan CAPTCHA sebelum memuat konten phishing yang sebenarnya.
Pelaku ancaman menggunakan informasi registrar dan ASN, bersama dengan kata kunci khas untuk domain M365, dapat diidentifikasi lebih banyak IOC yang ditautkan ke varian kampanye ini, beberapa di antaranya masih memuat CAPTCHA dan halaman phishing serupa pada saat penulisan.
2. Neighbouring Campaigns
Merupakan suatu kampanye spoofing notifikasi Microsoft serupa yang terlacak menggunakan layanan Cloudflare CDN. Kampanye ini pertama kali diamati pada awal 2023 dan terlihat menggunakan domain yang terdaftar di pencatat Rusia 'R01-RU' dengan TLD '.ru' dan menggunakan CDN Cloudflare. Kampanye ini pertama kali dicatat di Twitter pada 10 Januari:
Investigasi infrastruktur mengungkapkan pola domain TLD '.ru' yang terlibat dalam kampanye phishing serupa. Setiap domain mendaftarkan beberapa subdomain dengan awalan alfanumerik acak 23 karakter yang digunakan. Operator phishing terus memilih dari kumpulan subdomain yang terdaftar pada setiap domain.Â
Meskipun awalnya memuat tanpa CAPTCHA, semua iterasi terbaru menyertakan pemeriksaan serupa sebelum memuat laman phishing yang sama sebagai berikut:
Active Campaigns menggunakan Infrastruktur Lainnya
Pelaku terlacak melakukan kampanye aktif lain yang dihosting di infrastruktur berbeda. Umpan phishing serupa digunakan melalui email pemberitahuan Microsoft palsu sebagai berikut:
Contoh email di atas terdiri dari URL dari 'r20.rs6[.]net/tn.jsp?f=001Uz_oasaa6a5lC37PPsB9z-ZgFhC1pGp9pnfq5i9xZtMr96zXrdKn8CQ58mxOBMHls4KIJEKQYKrQLyGkOHCRdhGHDbs4LbL1gJtM7flt rQaLHqyvPgU2KFr-8phP57bDerZR8leLarR6I9RLnaPQWwm4st97ysy8PS4QDUFp0RUz8i3kKSJWR5EpJgGZl_FrFM-GZz-8rNqTXqkMoLRu4g==&c=FMZVwwhlSnT_R6bt1c-Rusd1q6 UoQpgXeh7JNVlfAOelVYnB7At6tQ==&ch=I9P2kmoojtJjpthS-pAffdBgRQXjoCrnpX91-blhUzm_QvuiI-ireQ ==&__=?VGLn==' akhirnya mengarah ke www;.fixedrepo365[.]art/main.
Dalam hal ini, pengguna juga diarahkan ke halaman CAPTCHA awal. Jika URL diakses secara langsung, pengguna dialihkan ke halaman office[.]com yang ramah. Pelaku ancaman kemungkinan besar melacak jalur pengalihan yang benar untuk dimuat, berdasarkan input yang diharapkan diterima dari URL yang dialihkan sebelumnya dari domain r6[.]net.
URL tersebut terdiri dari string yang disandikan 64 bit di akhir URL yang dibagikan sebelumnya (disebutkan sebagai untuk alasan keamanan). Di jalur di mana ia mendapatkan pengalihan yang tepat dengan input alamat email, setelah pengguna memverifikasi CAPTCHA di atas yang kemungkinan disiapkan untuk menghindari kotak pasir, domain phishing membuka URL dengan halaman login Microsoft SSO palsu:
Jenis penghindaran dan pemeriksaan CAPTCHA ini disebutkan oleh Microsoft dalam temuan mereka tentang distribusi 'AiTM Phish kits'. Tampaknya pelaku ancaman terus berhasil menerapkan teknik tersebut dengan domain baru dan infrastruktur baru.
Domain phishing dalam hal ini (ww-wfixedrepo365[.]art) menggunakan server nama dnsowl[.]com dan registrar NameSilo. Dengan menyelidiki infrastruktur, dapat teridentifikasi IP lain, yaitu 37.120.234[.]53, 209.141.60[.]219 dan domain yang menggunakan kata kunci bertema Microsoft dan Office dalam namanya.
3. Kesimpulan dan Rekomendasi
Serangan phishing terus menimbulkan risiko keamanan besar bagi organisasi dari segala bentuk dan ukuran. Pelaku ancaman terus mengadopsi teknik penghindaran baru untuk meningkatkan tingkat keberhasilan dan menghindari deteksi dari vendor keamanan, melalui beberapa lapis pengalihan yang sah, verifikasi CAPTCHA, dan penyelubungan URL final. Beberapa cara yang dapat dilakukan untuk meningkatkan keamanan Organisasi atau perusahannya sebagai berikut.
- Selalu lakukan update perangkat lunak (software/operating system) secara berkala
- Gunakan Anti-virus dan firewall yang terupdate
- Selalu mengupdate informasi mengenai Cyber Threat Intelligence (CTI)
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
