Awas! Lazarus Group Sebar Malware Lewat Rekrutmen Palsu
Berita Cybersecurity, Operasi Dream Job Lazarus Group - Dalam sebuah laporan terbaru tentang tren APT (Advanced Persistent Threat) untuk kuartal ketiga tahun 2023, perusahaan keamanan siber Kaspersky mengungkapkan bahwa kelompok yang terkait dengan Korea Utara yang dikenal sebagai Lazarus Group (atau juga dikenal sebagai Hidden Cobra atau TEMP.Hermit) telah menggunakan aplikasi Virtual Network Computing (VNC) yang telah diubah secara tersamarkan sebagai umpan untuk menargetkan industri pertahanan dan insinyur nuklir dalam operasi jangka panjang yang dikenal sebagai Operasi Dream Job.
Pelaku ancaman ini memikat pencari kerja di media sosial untuk membuka aplikasi berbahaya untuk wawancara pekerjaan palsu. Menurut Kaspersky, untuk menghindari deteksi oleh solusi keamanan berbasis perilaku (behavior based security), aplikasi yang telah dimasuki backdoor ini beroperasi secara rahasia, hanya aktif saat pengguna memilih server dari menu drop-down dari klien VNC yang telah dimodifikasi oleh Trojan.
Setelah diluncurkan oleh korban, aplikasi palsu ini dirancang untuk mengambil payload tambahan, termasuk malware Lazarus Group yang dikenal dengan sebutan LPEClient, yang dilengkapi dengan kemampuan untuk membuat profil host yang disusupi.
Pelaku ancaman juga menggunakan versi terbaru dari COPPERHEDGE, sebuah backdoor yang dikenal karena menjalankan perintah sembarangan, melakukan pengintaian sistem, dan mengeluarkan data, serta malware khusus yang digunakan untuk mengirimkan file ke server jarak jauh (remote server).
Sasaran dari operasi terbaru ini melibatkan perusahaan yang terlibat langsung dalam manufaktur pertahanan, termasuk sistem radar, kendaraan udara tak berawak (UAV), kendaraan militer, kapal, senjata, dan perusahaan maritim.
Operasi Dream Job merujuk pada serangkaian serangan yang diorganisir oleh kelompok peretas Korea Utara di mana target potensial dihubungi melalui akun yang mencurigakan di berbagai platform seperti LinkedIn, Telegram, dan WhatsApp dengan dalih menawarkan peluang pekerjaan yang menguntungkan untuk memperdaya mereka agar menginstal malware.
Bulan lalu, ESET mengungkapkan detail serangan kelompok Lazarus terhadap sebuah perusahaan dirgantara yang tidak disebutkan namanya di Spanyol, di mana karyawan perusahaan tersebut dihubungi oleh pelaku ancaman yang berpura-pura menjadi rekruter untuk Meta di LinkedIn dengan tujuan menyuntikkan implant bernama LightlessCan.
Lazarus Group hanyalah salah satu program ofensif dari Korea Utara yang telah terkait dengan mata-mata siber dan pencurian bermotivasi finansial. Kelompok peretas lain yang terkenal adalah APT37 (alias ScarCruft), yang merupakan bagian dari Kementerian Keamanan Negara, berbeda dengan kelompok aktivitas ancaman lainnya, seperti APT43, Kimsuky, dan kelompok Lazarus (dan sub-kelompoknya Andariel dan BlueNoroff) yang terafiliasi dengan Reconnaissance General Bureau (RGB).
Google-owned Mandiant mengungkapkan bahwa sementara kelompok ancaman Korea Utara berbagi peralatan dan kode, aktivitas ancaman Korea Utara terus beradaptasi dan berubah untuk membangun malware yang disesuaikan untuk platform yang berbeda, termasuk Linux dan macOS. Hal ini menunjukkan evolusi mereka dalam hal adaptabilitas dan kompleksitas.
Menurut Kaspersky, ScarCruft menargetkan perusahaan perdagangan yang terkait dengan Rusia dan Korea Utara dengan menggunakan rangkaian serangan phishing yang baru yang berakhir dengan pengiriman malware RokRAT (alias BlueLight), menegaskan upaya berkelanjutan Korea Utara untuk mengincar Rusia.
Selain itu, pergeseran yang mencolok lainnya adalah tumpang tindih infrastruktur, peralatan, dan sasaran antara berbagai kelompok peretas Korea Utara seperti Andariel, APT38, Lazarus Group, dan APT43, yang mengaburkan upaya atribusi dan menunjukkan penyederhanaan aktivitas lawan.
Semua perubahan ini juga disertai dengan "minat yang meningkat dalam pengembangan malware macOS untuk membobol platform target berharga di industri mata uang kripto dan blockchain," demikian menurut Mandiant.
Situasi ini menunjukkan bahwa ancaman siber dari Korea Utara terus berkembang dan menjadi semakin kompleks, mengharuskan perusahaan dan organisasi di seluruh dunia untuk tetap waspada dan meningkatkan pertahanan siber mereka.
Itulah gambaran singkat tentang Operasi Dream Job dan perkembangan terbaru dalam ancaman siber yang berasal dari Korea Utara. Kami akan terus mengikuti perkembangan ini dan memberikan pembaruan lebih lanjut seiring berjalannya waktu.
Posting Komentar untuk "Awas! Lazarus Group Sebar Malware Lewat Rekrutmen Palsu"