Peneliti Microsoft: Storm-2949 Menyerang dengan Metode Baru untuk Mencuri Akun!
Sebuah grup peretas yang dikenal dengan nama Storm-2949 sedang memanfaatkan fitur reset password di layanan Microsoft untuk mencuri kredensial login, mengakses akun, dan mencuri data sensitif sebanyak-banyaknya. Ini bukan kabar baik untuk semua pengguna, terutama yang sering berurusan dengan Microsoft 365 dan Azure.
Menurut laporan terbaru dari Tim Riset Keamanan Microsoft Defender, inti dari kampanye ini ada pada proses Self-Service Password Reset (SSPR) yang ada di ekosistem Microsoft. Biasanya, ketika seorang karyawan lupa passwordnya dan mengklik tombol “Forgot my password”, Microsoft akan mengirimkan permintaan autentikasi multi-faktor (MFA) ke perangkat kedua yang terdaftar. Jika karyawan tersebut menyetujuinya, mereka diizinkan untuk mengatur password baru melalui perangkat yang sama.
Akan tetapi, grup Storm-2949 menggunakan metode yang sangat terarah untuk menyerang korbannya. Pertama, mereka mengidentifikasi target, mendapatkan nomor telepon, serta email yang digunakan untuk login ke layanan Microsoft. Setelah itu, mereka memulai proses reset password sambil melakukan panggilan telepon kepada korban.
Mereka berpura-pura menjadi teknisi IT dan meyakinkan korban untuk menyetujui permintaan MFA, yang memungkinkan mereka untuk membuat password baru. Selanjutnya, mereka pun akan mengeluarkan korban dari akunnya dan mencuri sebanyak mungkin informasi yang bisa didapatkan. Wih, canggih banget ya!
Tim Intelijen Ancaman Microsoft menyebut kampanye ini sebagai “metode yang sistematis, canggih, dan berlapis-lapis”, yang menargetkan aplikasi Microsoft 365, layanan penyimpanan file, dan lingkungan produksi yang dihosting di Azure. Dalam sebuah contoh, Storm-2949 malah menggunakan antarmuka web OneDrive untuk mengunduh ribuan file sekaligus ke infrastruktur mereka sendiri. Pola pencurian data ini terulang di semua akun pengguna yang telah mereka kompromikan, karena masing-masing identitas memiliki akses ke folder dan direktori yang berbeda-beda.
Untuk melindungi diri dari ancaman ini, Microsoft menyarankan pengguna untuk membatasi izin RBAC Azure, menyimpan log Azure Key Vault selama satu tahun, mengurangi akses ke Key Vault, serta membatasi akses publik ke Key Vault. Selain itu, disarankan juga untuk menggunakan opsi perlindungan data di Azure Storage dan memantau operasi manajemen Azure yang berisiko tinggi.
Jadi, sudah saatnya penting banget untuk lebih berhati-hati dengan akun-akun pentingmu. Pastikan bahwa semua langkah keamanan yang diperlukan dilakukan agar tidak menjadi korban berikutnya dari pencurian data yang meresahkan ini!
