Hacker Manfaatkan SharePoint untuk Serangan Phishing AiTM yang Canggih

bacatutorial /

Hacker Manfaatkan SharePoint untuk Serangan Phishing AiTM yang CanggihTim peneliti Microsoft Defender baru-baru ini mengungkap sebuah kampanye phishing tingkat lanjut yang memanfaatkan Microsoft SharePoint sebagai senjata utama. Serangan ini menggunakan teknik adversary-in-the-middle (AiTM) dan secara khusus menyasar organisasi di sektor energi.

Baca Juga : Awas! Celah Microsoft Outlook Bisa Biarkan Hacker Jalankan Kode Berbahaya dari Jarak Jauh

Yang membuat serangan ini berbahaya bukan hanya karena skalanya besar, tetapi juga karena teknik yang digunakan sangat rapi, berlapis, dan sulit terdeteksi. Dalam beberapa kasus, serangan ini berhasil mengambil alih banyak akun pengguna dan berkembang menjadi operasi Business Email Compromise (BEC) yang meluas ke berbagai organisasi.

Menyamar sebagai Vendor Tepercaya

Serangan ini tidak dimulai secara sembarangan. Para pelaku mengawali aksinya dengan mengirimkan email phishing dari akun email vendor tepercaya yang sudah lebih dulu dikompromikan. Dari sisi korban, email tersebut terlihat sah karena memang berasal dari mitra bisnis yang biasa berinteraksi.

Di dalam email, terdapat tautan SharePoint yang meminta pengguna untuk melakukan autentikasi. Alurnya dibuat menyerupai proses berbagi dokumen yang normal, sehingga hampir tidak menimbulkan kecurigaan. Inilah celah yang dimanfaatkan penyerang.

Microsoft SharePoint dan OneDrive sendiri merupakan layanan yang sangat umum digunakan di lingkungan perusahaan. Karena tingkat kepercayaannya tinggi, banyak sistem keamanan email yang tidak memblokir tautan dari layanan ini. Akibatnya, email berbahaya bisa lolos dari filter keamanan tradisional.

Kredensial Dicuri Lewat Halaman Login Palsu

Ketika korban mengklik tautan SharePoint berbahaya tersebut, mereka diarahkan ke halaman login palsu yang tampak sangat mirip dengan halaman resmi Microsoft. Tanpa disadari, korban memasukkan kredensial mereka, dan pada saat itulah penyerang berhasil mengambil alih sesi login pengguna.

Begitu akses didapatkan, pelaku langsung bergerak cepat. Mereka membuat aturan inbox di email korban untuk menghapus email masuk dan menandai pesan sebagai “sudah dibaca”. Teknik ini bertujuan untuk menjaga serangan tetap tersembunyi dan mencegah korban menerima notifikasi keamanan atau menyadari aktivitas mencurigakan.

Serangan Berkembang Menjadi Phishing Massal

Setelah berhasil menguasai satu akun, serangan tidak berhenti di situ. Penyerang kemudian melancarkan kampanye phishing besar-besaran dengan mengirim lebih dari 600 email ke kontak internal maupun eksternal yang ditemukan di inbox korban.

Target dipilih secara cerdas, yakni dari percakapan email terbaru yang ada di akun korban. Dengan begitu, email phishing terlihat relevan dan kontekstual, sehingga peluang korban berikutnya untuk tertipu menjadi jauh lebih besar.

Tak hanya itu, penyerang juga secara aktif memantau inbox korban. Email notifikasi seperti pesan gagal terkirim atau balasan “out of office” langsung dihapus agar tidak menimbulkan kecurigaan.

Jika ada penerima yang meragukan isi email dan bertanya, penyerang akan membalas langsung dari akun yang sudah dikompromikan, seolah-olah mengonfirmasi bahwa email tersebut memang sah. Setelah itu, jejak percakapan akan segera dihapus.

Semua teknik ini dilakukan untuk menjaga persistensi serangan sekaligus membuat korban tetap tidak menyadari bahwa akun mereka sedang disalahgunakan.

Skala Serangan Terungkap

Microsoft Defender Experts berhasil mengidentifikasi lebih banyak akun yang terkompromi dengan menganalisis pola login dan alamat IP yang digunakan. Hasilnya menunjukkan bahwa kampanye ini memiliki jangkauan luas dan menyerang banyak organisasi di sektor energi.

Temuan ini menjadi peringatan serius bahwa serangan AiTM tidak lagi bersifat eksperimental, melainkan sudah digunakan dalam operasi nyata dengan dampak besar.

Reset Password Saja Tidak Cukup

Microsoft menegaskan bahwa mengganti password saja tidak cukup untuk memulihkan akun yang terkena serangan AiTM. Hal ini karena penyerang bisa tetap mempertahankan akses menggunakan session cookie yang sudah dicuri sebelumnya.

Bahkan dalam beberapa kasus, penyerang dapat mendaftarkan metode MFA alternatif, seperti nomor telepon yang mereka kendalikan, sehingga tetap bisa masuk meskipun password telah diganti.

Untuk mitigasi yang efektif, organisasi perlu:

  • Mencabut seluruh session aktif

  • Menghapus aturan inbox yang dibuat penyerang

  • Mereset dan memverifikasi ulang pengaturan MFA

Rekomendasi Keamanan dari Microsoft

Sebagai langkah pencegahan, Microsoft merekomendasikan penerapan Conditional Access Policy yang mengevaluasi setiap permintaan login berdasarkan berbagai sinyal identitas, seperti:

  • Lokasi IP

  • Status perangkat

  • Keanggotaan grup pengguna

Selain itu, fitur seperti Continuous Access Evaluation, security defaults di Azure Active Directory, serta solusi anti-phishing tingkat lanjut dapat memberikan lapisan perlindungan tambahan.

Penggunaan Microsoft Defender XDR juga sangat disarankan karena mampu mendeteksi aktivitas mencurigakan, termasuk upaya login berulang dan pembuatan aturan inbox yang tidak lazim.

Baca Juga : Gmail Rilis Inbox AI yang Lebih Personal, AI Overviews di Pencarian, dan Fitur Baru Lainnya

Indicator of Compromise (IoC)

Berikut beberapa alamat IP yang teridentifikasi sebagai infrastruktur penyerang:

  • 178.130.46.8

  • 193.36.221.10

Organisasi di sektor energi disarankan untuk segera melakukan pencarian terhadap alamat IP tersebut di log autentikasi dan menyelidiki setiap aktivitas login yang terkait.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *