Sebuah serangkaian metode serangan baru telah menyasar Google Workspace dan Google Cloud Platform (GCP). Pelaku ancaman bertujuan untuk menyusupkan ransomware, melakukan eksfiltrasi data, dan merecovery sandi, mengancam keamanan platform tersebut.
Baca Juga : Pakar Ungkap Perlindungan Data Pemilih Jadi Fokus Ancaman Siber Saat Pemilu 2024
Dilansir dari Cyberthreat ID, Direktur Solusi Teknis Bitdefender, Martin Zugec, menyatakan dalam sebuah laporan bahwa serangan ini dimulai dari satu mesin yang disusupi. Pelaku ancaman kemudian dapat berkembang dengan berbagai cara, termasuk berpindah ke mesin kloning lain yang telah menginstal Google Credential Provider for Windows (GCPW). Mereka juga dapat mendapatkan akses ke platform cloud dengan izin khusus atau mendekripsi sandi yang disimpan secara lokal untuk melanjutkan serangan di luar ekosistem Google.
Meskipun Google menandai bug tersebut sebagai tidak memenuhi syarat untuk diperbaiki karena di luar model ancaman mereka, perusahaan keamanan siber Rumania memperingatkan bahwa pelaku ancaman dapat mengeksploitasi celah tersebut untuk memperluas kompromi titik akhir tunggal hingga pelanggaran jaringan yang luas.
Serangan ini bergantung pada penggunaan Google Credential Provider for Windows (GCPW) oleh organisasi, yang menawarkan mobile device management (MDM) dan kemampuan single sign-on (SSO). GCPW memungkinkan administrator mengelola perangkat Windows dari jarak jauh dalam lingkungan Google Workspace dan memungkinkan pengguna mengakses perangkat Windows menggunakan kredensial yang sama dengan akun Google mereka.
Baca Juga : Heboh Nasabah BCA Rugi Rp68,5 Juta Melalui Transaksi QRIS, Ini Tanggapan Pakar
Selain itu, serangan ini melibatkan eksploitasi GCPW untuk mendapatkan akses ke akun layanan istimewa lokal bernama Google Accounts and ID Administration (GAIA). Ini memungkinkan penyerang mengekstrak token OAuth penyegaran akun, menghindari perlunya otentikasi ulang, dan membuat permintaan HTTP POST untuk mendapatkan token akses. Token ini dapat disalahgunakan untuk mengambil, memanipulasi, atau menghapus data sensitif terkait dengan Akun Google.
Serangan juga melibatkan gerakan lateral Golden Image, fokus pada penggunaan mesin virtual (VM) dan mengeksploitasi kloning mesin dengan GCPW yang sudah diinstal. Ini menyebabkan sandi yang dikaitkan dengan akun GAIA menjadi tidak valid.
Dalam serangan ketiga, pelaku ancaman memerlukan akses ke kredensial teks biasa dengan memanfaatkan token akses untuk mendapatkan kunci RSA pribadi. Hal ini memungkinkan mereka mendekripsi bidang kata sandi dan memiliki akses tidak terbatas ke akun pengguna, potensial mengakibatkan pengambilalihan akun sepenuhnya.
