IKEA Terkena Serangan Siber Rantai Balasan Email

As of Friday – seperti dalam, shopping-on-steroids Black Friday – raksasa ritel IKEA sedang bergulat dengan serangan phishing email berantai balasan yang sedang berlangsung di mana penyerang memalsukan balasan ke utas email curian.

BleepingComputer melihat email internal – salah satunya direplikasi di bawah ini – yang memperingatkan karyawan akan serangan tersebut, yang menargetkan kotak masuk email internal perusahaan. Email phishing berasal dari alamat email internal IKEA, serta dari sistem yang disusupi oleh pemasok dan mitra perusahaan.

“Ada serangan siber berkelanjutan yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya disusupi oleh serangan yang sama dan selanjutnya menyebarkan email berbahaya ke orang-orang di Inter IKEA.

“Ini berarti bahwa serangan dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu sulit untuk dideteksi, untuk itu kami meminta Anda untuk ekstra hati-hati.” –Email internal IKEA ke employee.

IKEA tidak segera menanggapi permintaan komentar dari Threatpost. Oleh karena itu, tidak jelas apakah serangan itu dilakukan sepanjang akhir pekan dan hingga Senin.

IKEA mengirimi karyawannya contoh email phishing, yang ditunjukkan di bawah, yang diterima di Microsoft Outlook. Tim TI perusahaan dilaporkan menunjukkan bahwa email rantai balasan berisi tautan yang diakhiri dengan tujuh digit. Karyawan diperingatkan agar tidak membuka email, terlepas dari siapa yang mengirimnya, dan diminta untuk segera melaporkan email phishing tersebut ke departemen TI jika mereka menerimanya.
Contoh email phishing yang dikirim ke karyawan IKEA. Sumber: BleepingComputer.

Serangan Exchange Server Déjà Vu?

Serangan ini terdengar familiar: Awal bulan ini, Trend Micro menerbitkan laporan tentang penyerang yang melakukan hal yang sama dengan balasan ke utas email yang dibajak. Para penyerang menggerogoti kerentanan ProxyLogon dan ProxyShell di Microsoft Exchange Server untuk membajak rantai email, dengan memalsukan balasan ke utas email yang sedang berlangsung dan karenanya meningkatkan kemungkinan target mereka akan mengklik tautan berbahaya yang mengarah ke infeksi malware.

Seperti yang dicatat oleh pakar keamanan , membajak balasan email untuk kampanye malspam adalah cara yang baik untuk melewati kecurigaan spam orang dan untuk menghindari ditandai atau dikarantina oleh gateway email.

Apa yang masih dalam diskusi pada saat laporan Trend Micro: Apakah serangan itu mengirimkan SquirrelWaffle, pemuat email baru yang muncul pada bulan September, atau apakah SquirrelWaffle hanyalah salah satu bagian dari malware di antara beberapa yang dijatuhkan kampanye.
Dokumen Microsoft Excel yang berbahaya. Sumber: Trend Micro.

Cisco Peneliti Talos pertama kali mengetahui kampanye malspam SquirrelWaffle yang dimulai pada pertengahan September, ketika mereka melihat dokumen Microsoft Office yang dijebak yang mengirimkan malware Qakbot dan alat pengujian penetrasi Cobalt Strike – dua dari ancaman paling umum yang diamati secara teratur untuk menargetkan organisasi di seluruh dunia. Office mendokumentasikan sistem yang terinfeksi dengan SquirrelWaffle pada tahap awal rantai infeksi. Kampanye

SquirrelWaffle dikenal menggunakan utas email curian untuk meningkatkan kemungkinan korban mengklik tautan berbahaya. Tautan yang dicurangi itu dimasukkan ke dalam balasan email, mirip dengan bagaimana malware Emotet yang ganas – biasanya menyebar melalui email atau pesan teks berbahaya – telah diketahui berfungsi. – intrusi terkait di Timur Tengah, untuk mengetahui apakah serangan tersebut melibatkan kerentanan server ProxyLogon dan ProxyShell Exchange yang terkenal dan sering dipisahkan. oleh log IIS dari tiga server yang disusupi, masing-masing disusupi dalam intrusi terpisah, semuanya telah dieksploitasi melalui kerentanan ProxyShell dan ProxyLogon CVE-2021-26855, CVE-2021-34473, dan CVE-2021-34523.

Dalam kampanye Timur Tengah yang Trend Micro menganalisis, email phishing berisi dokumen Microsoft Excel berbahaya yang melakukan apa yang dilakukan dokumen Excel berbahaya: target untuk memilih “Aktifkan Konten” untuk melihat file yang dilindungi, sehingga meluncurkan rantai infeksi.

Karena IKEA belum menanggapi pertanyaan media, tidak mungkin untuk mengatakan dengan pasti apakah itu telah mengalami serangan serupa atau tidak. Namun, ada lebih banyak kesamaan antara serangan IKEA dan serangan Timur Tengah yang dianalisis oleh Trend Micro awal bulan ini. Secara khusus, seperti yang dilaporkan BleepingComputer, serangan email balasan IKEA juga menyebarkan dokumen Excel berbahaya yang juga menginstruksikan penerima untuk “Aktifkan Konten” atau “Aktifkan Pengeditan” untuk melihatnya.

Trend Micro membagikan tangkapan layar, yang ditunjukkan di bawah, tentang bagaimana dokumen Excel berbahaya terlihat di kampanye Timur Tengah:
Dokumen Microsoft Excel berbahaya. Sumber: Trend Micro.

Anda Tidak Dapat Mempercayai Email dari ‘Seseorang yang Anda Kenal’

Sangat mudah untuk salah mengira bahwa balasan jahat berasal dari pengirim yang sah, mengingat bahwa mereka muncul di utas email yang sedang berlangsung. Saryu Nayyar, CEO Gurucul, mencatat bahwa karyawan IKEA belajar dengan cara yang sulit bahwa balasan dalam utas belum tentu sah dan dapat benar-benar berbahaya.

“Jika Anda mendapatkan email dari seseorang yang Anda kenal, atau yang tampaknya terus berlanjut percakapan, Anda mungkin cenderung menganggapnya sah,” katanya kepada Threatpost melalui email pada hari Senin. “Namun, karyawan IKEA mencari tahu sebaliknya. Mereka diserang oleh email phishing yang sering kali berasal dari sumber yang diketahui, dan mungkin membawa trojan Emotet atau Qbot untuk menginfeksi sistem dan jaringan lebih lanjut.”

Serangan ini “sangat berbahaya,” komentarnya, yang “tampaknya berlanjut pola penggunaan normal.”

Tidak Ada Lagi Mengabaikan Karantina

Dengan pola “penggunaan normal” seperti itu yang meninabobokan calon korban, meningkatkan kemungkinan bahwa karyawan mungkin berasumsi bahwa filter email salah jika mereka mengkarantina pesan.

Dengan demikian, IKEA’s email internal memberi tahu karyawan bahwa departemen TI-nya menonaktifkan kemampuan untuk merilis email dari karantina. Seperti itu, filter emailnya mengidentifikasi setidaknya beberapa email berbahaya:

“Filter email kami dapat mengidentifikasi beberapa email berbahaya dan mengkarantina mereka. Karena itu email bisa menjadi balasan untuk percakapan yang sedang berlangsung, mudah untuk berpikir bahwa filter email melakukan kesalahan dan melepaskan email dari karantina. Oleh karena itu, hingga pemberitahuan lebih lanjut, kami menonaktifkan kemungkinan bagi semua orang untuk merilis email dari karantina.” –Email internal IKEA untuk karyawan.

Apakah Pelatihan Buang-buang Waktu?

Dengan serangan licik seperti ini, apakah pelatihan tidak ada gunanya? Ada yang bilang ya, ada yang bilang tidak.

Erich Kron, advokat kesadaran keamanan di KnowBe4, adalah pro-pelatihan, terutama mengingat betapa merusaknya serangan ini.

“Akun email yang disusupi, terutama yang berasal dari sistem email internal dengan akses ke daftar kontak organisasi , bisa sangat merusak, karena email internal dianggap tepercaya dan tidak memiliki tanda-tanda phishing yang biasa kita cari,” katanya kepada Threatpost melalui email pada hari Senin. “Karena itu dari akun yang sah, dan karena penjahat dunia maya sering menyuntikkan diri mereka ke dalam percakapan sah sebelumnya, ini bisa sangat sulit dikenali, menjadikannya sangat efektif.

“Serangan semacam ini, terutama jika penyerang dapat memperoleh akses ke akun eksekutif akun email, dapat digunakan untuk menyebarkan ransomware dan malware lainnya atau untuk meminta transfer kawat ke rekening bank milik penjahat dunia maya, antara lain,” kata Kron. link dan untuk mempertimbangkan konteks pesan. “Jika tidak masuk akal atau tampak tidak biasa sama sekali, jauh lebih baik untuk mengangkat telepon dan segera mengkonfirmasi pesan dengan pengirim, daripada mengambil risiko infeksi malware atau menjadi korban penipuan,” katanya.

Sebaliknya, Christian Espinosa, direktur pelaksana Cerberus Sentinel, sangat mendukung pendekatan “pelatihan tidak ada gunanya”. “Sudah saatnya kita menerima bahwa ‘pengguna’ akan terus terjerumus ke penipuan phishing, terlepas dari seberapa banyak ‘pelatihan kesadaran’ yang kita berikan kepada mereka.”

Tapi opsi apa yang kita miliki? Espinosa menyarankan bahwa buku pedoman pertahanan keamanan siber “harus fokus pada item yang mengurangi risiko, seperti daftar putih aplikasi, yang akan menghentikan serangan ini, karena ‘malware’ tidak akan masuk daftar putih.”

Dia menunjuk ke industri lain yang telah mengimbangi faktor manusia, seperti transportasi. “Meskipun kampanye kesadaran, industri transportasi menyadari bahwa banyak orang tidak ‘melihat’ sebelum berbelok di lampu hijau,” kata Espinosa. “Alih-alih menyalahkan pengemudi, industri mengubah lampu lalu lintas. Lampu yang lebih baru mencegah pengemudi berbelok melintasi lalu lintas kecuali ada panah hijau.”

Perubahan ini menyelamatkan ribuan nyawa, katanya, dan sudah saatnya industri keamanan siber juga “mengambil kepemilikan.”

Ada lautan data tidak terstruktur di internet berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Malwareliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: