Liputan6.com, Jakarta - Microsoft mengeluarkan peringatan tentang serangan spear-phishing dari kelompok hacker Midnight Blizzard, yang sebelumnya dikaitkan oleh otoritas Amerika Serikat (AS) dan Inggris dengan badan intelijen Rusia.
Microsoft menemukan bahwa pelaku kejahatan siber tersebut telah mengirimkan "email spear-phishing yang sangat tertarget" setidaknya sejak 22 Oktober dan mereka yakin bahwa tujuan operasi tersebut adalah untuk aktivitas intelijen.
Spear phishing adalah jenis serangan phishing yang menargetkan individu atau kelompok tertentu dengan menggunakan informasi pribadi yang telah dikumpulkan sebelumnya. Serangan ini dirancang untuk menipu korban agar mengungkapkan informasi sensitif.
Berdasar pengamatan Microsoft, Midnight Blizzard telah mengirimkan email kepada individu yang terkait dengan berbagai sektor, tetapi mereka dikenal menargetkan organisasi pemerintah dan non-pemerintah, penyedia layanan TI, akademisi, dan pertahanan.
Selain itu, meskipun sebagian besar berfokus pada organisasi di AS dan beberapa negara Eropa, kampanye ini juga menargetkan individu di Australia dan Jepang. Indonesia sendiri belum masuk target serangan.
"Midnight Blizzard telah mengirimkan ribuan email spear-phishing ke lebih dari 100 organisasi untuk kampanye ini," kata Microsoft, dikutip dari Engadget, Kamis (31/10/2024).
Perusahaan menjelaskan bahwa email tersebut berisi Protokol Desktop Jarak Jauh (Remote Desktop Protocol/RDP) yang terhubung ke server yang dikendalikan oleh hacker tersebut.
Membajak Email Organisasi
Midnight Blizzard menggunakan alamat email milik organisasi asli yang dicuri selama aktivitas sebelumnya, sehingga target mengira bahwa mereka membuka email yang sah.
Mereka juga menggunakan teknik rekayasa sosial agar email tersebut tampak seolah-olah dikirim oleh karyawan Microsoft atau Amazon Web Services.
Jika seseorang mengklik dan membuka lampiran RDP, koneksi dibuat ke server yang dikendalikan Midnight Blizzard.
Kemudian, pelaku kejahatan mendapatkan akses ke file milik target, drive jaringan atau periferal (seperti mikrofon dan printer) yang terhubung ke komputer mereka, serta kunci sandi, kunci keamanan, dan informasi autentikasi web lainnya.
Pelaku kejahatan juga dapat memasang malware di komputer dan jaringan target, termasuk trojan akses jarak jauh yang dapat digunakan untuk tetap berada di sistem korban bahkan setelah koneksi awal terputus.
Rentetan Kejahatan Midnight Blizzard
Midnight Blizzard dikenal dengan banyak nama lain, seperti Cozy Bear dan APT29, tetapi kamu mungkin mengingatnya sebagai pelaku ancaman di balik serangan SolarWinds 2020, di mana mereka berhasil menyusup ke ratusan organisasi di seluruh dunia.
Mereka juga membobol email beberapa eksekutif senior Microsoft dan karyawan lainnya pada awal 2024, mengakses komunikasi antara perusahaan dan pelanggannya.
Microsoft tidak mengatakan apakah kampanye serangan ini ada hubungannya dengan Pemilihan Presiden AS, tetapi perusahaan menyarankan target potensial untuk lebih proaktif dalam melindungi sistem mereka.