Cyberthreat.id - Lusinan organisasi di seluruh dunia telah menjadi sasaran sebagai bagian dari kampanye kompromi email bisnis (BEC) yang luas yang melibatkan penggunaan teknik adversary-in-the-middle (AitM) untuk melakukan serangan.

"Menyusul upaya phishing yang berhasil, aktor ancaman memperoleh akses awal ke salah satu akun karyawan korban dan melakukan serangan adversary-in-the-middle untuk melewati otentikasi Office365 dan mendapatkan akses persistensi ke akun itu," kata peneliti Sygnia dalam laporan yang dibagikan dengan The Hacker News.

"Begitu mendapatkan kegigihan, pelaku ancaman mengekstraksi data dari akun yang disusupi dan menggunakan aksesnya untuk menyebarkan serangan phishing terhadap karyawan korban lainnya bersama dengan beberapa organisasi target eksternal."

Temuan ini muncul kurang dari seminggu setelah Microsoft merinci kombinasi serupa dari phishing AitM dan serangan BEC yang ditujukan untuk organisasi perbankan dan jasa keuangan.

Penipuan BEC biasanya melibatkan menipu target melalui email untuk mengirim uang atau membocorkan informasi rahasia perusahaan. Selain mempersonalisasi email ke korban yang dituju, penyerang juga dapat menyamar sebagai sosok tepercaya untuk mencapai tujuannya.

Hal ini, pada gilirannya, dapat dicapai dengan merebut kendali akun melalui skema rekayasa sosial yang rumit, setelah itu penipu mengirim email kepada klien atau pemasok perusahaan dengan faktur palsu yang meminta pembayaran ke rekening bank palsu.

Dalam rantai serangan yang didokumentasikan oleh Sygnia, penyerang terlihat mengirimkan email phishing yang berisi tautan ke "dokumen bersama" yang diklaim yang pada akhirnya mengarahkan korban ke halaman phishing AitM yang dirancang untuk memanen kredensial yang dimasukkan dan kata sandi satu kali.

Terlebih lagi, para pelaku ancaman dikatakan telah menyalahgunakan akses sementara ke akun yang disusupi untuk mendaftarkan perangkat otentikasi multi-faktor (MFA) baru untuk mendapatkan pijakan jarak jauh yang terus-menerus dari alamat IP berbeda yang berlokasi di Australia.

“Selain eksfiltrasi data sensitif dari akun korban, pelaku ancaman menggunakan akses ini untuk mengirim email phishing baru yang berisi tautan jahat baru ke lusinan karyawan klien serta organisasi target tambahan,” kata peneliti Sygnia.

Perusahaan cybersecurity Israel lebih lanjut mengatakan bahwa email phishing menyebar dengan "cara seperti cacing" dari satu perusahaan yang ditargetkan ke perusahaan lain dan di antara karyawan dalam perusahaan yang sama. Skala pasti dari kampanye saat ini tidak diketahui.[]