Kelompok Lazarus Ditengarai Mengincar Perusahaan Industri untuk Sebarkan Malware Canggih


Peneliti keamanan Kaspersky berhasil mengungkap salah satu kelompok hacker yang dinamai sebagai Lazarus yang diduga  menyebarkan kampanye penyebaran malware yang dikemas ke dalam bentuk dokumen word. Tujuan penyebaran ini adalah untuk mencuri data penting dari perusahaan sekaligus menginfeksi data menggunakan malware canggih bernama ThreatNeedle.

Sebelumnya, Google juga membuat postingan terkait kelompok Lazarus dua hari yang lalu tentang serangan siber yang menargetkan peneliti keamanan dengan menggunakan exploit DOS2RCE Null Pointer yang diberi codename sebagai CVE-2021-1647.

Menurut Kaspersky, kampanye spionase bertema COVID-19 terus berlanjut dan para kelompok tersembut tampaknya menginginkan informasi data penting dengan cara melakukan penyebaran phising yang memikat korban agar dapat menginfeksi malware ke dalam sistem komputer mereka. Berdasarkan analisis Kaspersky, kelompok Lazarus telah muncul sejak pertengahan 2020.


Dua peneliti dari Kaspersky, Vyacheslav Kopeytsev dan Seongsu Park dalam posting blognya mengatakan bahwa sejauh ini serangan yang diluncurkan Lazarus sudah lebih dari selusin negara yang terkena dampaknya. Kaspersky juga mengamati segmentasi jaringan ke mesin internal dan mengkonfigurasinya sebagai proxy server yang memungkinkan mereka untuk mencuri data tertentu dari jaringan intranet perusahaan ke server kendali jarak jauh mereka.

Peneliti Kaspersky tersebut mengklaim telah melacak keberadaan malware ThreatNeedle sebuah cluster penyebaran terbaru dari Lazarus selama sekitar dua tahun yang lalu dan mereka meyakini ini benar-benar dikendalikan oleh kelompok itu karena memiliki kesamaan teknik penyebarannya dan isi bongkahan malwarenya.

"Kami menyebut Lazarus sebagai grup paling aktif tahun 2020, yang terkenal menargetkan berbagai industri" tergantung pada tujuan mereka, menurut Kaspersky.

Sementara sebelumnya kelompok tersebut tampaknya berfokus terutama pada upaya untuk mengamankan pendanaan untuk rezim Kim Jong-un, namun sekarang telah bergeser ke spionase dunia maya, menurut pengamatan para peneliti. Hal ini tidak hanya dibuktikan dengan kampanye terhadap perusahaan pertahanan tetapi juga serangan terbaru lainnya, seperti insiden yang terungkap pada bulan Desember yang bertujuan untuk mencuri info vaksin COVID-19 dan penyerangan tersebut kepada peneliti keamanan.

Infeksi Malware 

Photo: Isi pesan email Lazarus bahasa Rusia (Dok. Kaspersky)

Sebelum melancarkan aksinya, Lazarus mengamati serta mengumpulkan informasi sebanyak mungkin yang dipublikasikan secara umum di platform sosial media terutama informasi seperti alamat email, nomor telepon dan nama-nama petinggi perusahaan tersebut.

Kemudian mereka membuat email phising yang bertemakan COVID-19 dengan isi pesan yang menarik dalam bentuk dokumen word. Akan tetapi, isi di dalam dokumen tersebut ialah malware canggih yang sudah dirancang sedemikian rupa dan mengirimkannya ke alamat email departemen perusahaan yang diincarnya.

“Email phishing dibuat dengan hati-hati dan ditulis atas nama pusat medis yang merupakan bagian dari organisasi yang diserang,” tulis Kopeytsev dan Park.

Untuk memastikan email tampak asli, penyerang mendaftarkan akun dengan layanan email publik untuk memastikan alamat email pengirim terlihat mirip dengan alamat email asli pusat medis, dan menggunakan data pribadi wakil kepala dokter dari pusat medis organisasi yang diserang di email tanda tangan.

Namun peneliti Kaspersky menemukan kesalahan dalam penyebaran malware ini, yaitu informasi isi pesan yang dikirimkan penyerang ternyata berkaitan dengan program penilaian kesehatan bukan tentang COVID-19 dan tampaknya penyerang tidak sepenuhnya memahami tentang COVID-19.


Photo: Kaspersky

Upaya awal spear-phishing juga tidak berhasil karena makro dinonaktifkan di penginstalan Microsoft Office dari sistem yang ditargetkan. Untuk membujuk target agar mengizinkan makro berbahaya, penyerang kemudian mengirim email lain yang menunjukkan cara mengaktifkan makro di Microsoft Office.

Setelah korban mengaktifkan Security Warning, maka malware tersebut akan bekerja dengan fungsionalitas pada umumnya seperti manipulasi file/direktori, system profilling, mengkontrol backdoor dari jarak jauh, memperbarui backdoor dan mengeksekusi perintah lainnya.

Selama penyelidikan, para peneliti menemukan hubungan dengan serangan lain yang ditemukan sebelumnya salah satunya disebut DreamJob dan lainnya dijuluki Operasi AppleJesus keduanya dicurigai sebagai pekerjaan APT Korea Utara dengan kelompok yang sama.

Posting Komentar

0 Komentar