Cara Peretas
Peretas menggunakan akun Microsoft 365 yang sudah disusupi milik usaha kecil. Mereka membuat domain baru yang tampaknya merupakan entitas dukungan teknis dan memiliki kata “Microsoft” di dalamnya.
Akun yang terkait dengan domain ini kemudian mengirim pesan phishing untuk memancing orang melalui Teams.
Perusahaan teknologi itu mengatakan tim peretas tampaknya telah memperoleh kredensial akun yang valid untuk pengguna yang mereka targetkan.
Mereka menargetkan pengguna dengan autentikasi tanpa kata sandi yang dikonfigurasi di akun mereka.
Di mana, keduanya mengharuskan pengguna untuk memasukkan kode yang ditampilkan selama aliran autentikasi ke permintaan di aplikasi Microsoft Authenticator di perangkat seluler mereka.
Setelah mencoba mengautentikasi ke akun yang memerlukan formulir MFA ini, aktor diberikan kode yang harus dimasukkan pengguna ke aplikasi autentikator mereka.
Pengguna menerima prompt untuk memasukkan kode pada perangkat mereka.
Aktor tersebut kemudian mengirimkan pesan ke pengguna yang ditargetkan melalui Microsoft Teams yang meminta pengguna untuk memasukkan kode ke prompt di perangkat mereka.
Jika pengguna yang ditargetkan menerima permintaan pesan dan memasukkan kode ke dalam aplikasi Microsoft Authenticator, grup APT mendapatkan token untuk mengautentikasi sebagai pengguna yang ditargetkan.
Setelah peretasan selesai, Microsoft mengatakan telah mengamati aktivitas pasca-kompromi yang mencakup pencurian informasi dari penyewa Microsoft 365 yang disusupi. (xin/lfr)
