Ara-Gen - IKEA sedang memerangi serangan siber yang masih berlangsung di mana pelaku ancaman menargetkan karyawan dalam serangan phishing internal menggunakan email reply chain (hijacked email reply chain).
Serangan rantai email balasan adalah saat pelaku ancaman membajak email perusahaan yang legal/sah dan kemudian membalas percakapan email yang sudah ada dengan lampiran tautan ke dokumen berbahaya yang memasang malware di perangkat penerima.
(Baca juga: Apa itu Email Reply Chain? Berikut penjelasannya)
Karena terlihat dikirim dari email yang sah milik perusahaan dan biasanya dikirim dari akun email dan server internal yang disusupi, penerima akan mempercayai email tersebut dan cenderung akan membuka dokumen berbahaya yang dilampirkan.
Dalam email internal yang dikirim ke karyawan, IKEA memperingatkan karyawan tentang serangan cyber phishing rantai email balasan yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.
"Ada serangan siber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA," bunyi email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.
"Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati."
Tim TI IKEA memperingatkan karyawan bahwa email rantai balasan berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.
Penerima juga diminta untuk memberi tahu pengirim email melalui obrolan Microsoft Teams untuk melaporkan email tersebut.
Contoh email phishing yang dikirim ke karyawan IKEA
Pelaku ancaman baru-baru ini mulai meretas server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.
Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan rantai email balasan terhadap karyawan menggunakan email perusahaan yang dicuri.
Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.
Ada juga kekhawatiran bahwa penerima dapat melepaskan email phishing berbahaya dari karantina, mengira mereka tidak sengaja terperangkap. Karena itu, mereka menonaktifkan kemampuan karyawan untuk merilis email hingga serangan teratasi.
"Filter email kami dapat mengidentifikasi beberapa email berbahaya dan mengkarantinanya. Karena email tersebut dapat menjadi balasan untuk percakapan yang sedang berlangsung, mudah untuk berpikir bahwa filter email melakukan kesalahan dan melepaskan email dari karantina. Oleh karena itu, kami sampai pemberitahuan lebih lanjut menonaktifkan kemungkinan bagi semua orang untuk merilis email dari karantina," IKEA berkomunikasi dengan karyawan.
Meskipun IKEA belum terang-terangan mengungkapkan kepada karyawan apakah server internal telah disusupi, tampaknya mereka mengalami serangan serupa.
Serangan untuk menyebarkan trojan Emotet atau Qbot
Dari URL yang dibagikan dalam email phishing yang telah dihapus di atas, BleepingComputer dapat mengidentifikasi serangan yang menargetkan IKEA.
Saat mengunjungi URL ini, browser akan diarahkan ke unduhan yang disebut 'charts.zip' yang berisi dokumen Excel berbahaya. Lampiran ini memberitahu penerima untuk mengklik tombol 'Aktifkan Konten' atau 'Aktifkan Pengeditan' untuk melihatnya dengan benar, seperti yang ditunjukkan di bawah ini.
Setelah tombol-tombol itu diklik, makro jahat akan dieksekusi yang mengunduh file bernama 'besta.ocx,' 'bestb.ocx,' dan 'bestc.ocx' dari situs jarak jauh dan menyimpannya ke folder C:\Datop.
File OCX ini diganti namanya menjadi DLL dan dijalankan menggunakan perintah regsvr32.exe untuk menginstal muatan malware.
Kampanye yang menggunakan metode ini telah terlihat menginstal trojan Qbot (alias QakBot dan Quakbot) dan mungkin Emotet berdasarkan kiriman VirusTotal yang ditemukan oleh BleepingComputer.
Trojan Qbot dan Emotet keduanya mengarah pada kompromi jaringan lebih lanjut dan pada akhirnya penyebaran ransomware pada jaringan yang dilanggar.
Karena parahnya infeksi ini dan kemungkinan kompromi server Microsoft Exchange mereka, IKEA memperlakukan insiden keamanan ini sebagai serangan siber signifikan yang berpotensi menyebabkan serangan yang jauh lebih mengganggu.
Temukan artikel atau berita tentang keamanan siber hanya disini, Bagikan berita ini jika dirasa perlu, ikuti kami di Facebook dan Linkedin, terima kasih.
Posting Komentar