Lazarus Group Gunakan Log4j Exploit untuk Kirim Remote Access Trojan
Berita Cybersecurity, Lazarus Group Gunakan Log4j Exploit - Sebuah kelompok ancaman terkenal yang terkait dengan Korea Utara, dikenal sebagai Lazarus Group, telah dikaitkan dengan operasi serangan siber yang melibatkan eksploitasi celah keamanan di Log4j untuk mengirimkan Remote Access Trojan (RAT) yang sebelumnya tidak terdokumentasi pada host yang terinfeksi.
Aktivitas ini dilacak oleh Cisco Talos dengan nama Operasi Blacksmith, mencatat penggunaan tiga keluarga malware berbasis DLang, termasuk RAT bernama NineRAT yang memanfaatkan Telegram untuk command-and-control (C2), DLRAT, dan sebuah downloader yang dinamai BottomLoader.
Perusahaan keamanan siber ini menggambarkan taktik terbaru dari Lazarus Group sebagai pergeseran yang pasti dan tumpang tindih dengan kelompok Andariel (alias Onyx Sleet atau Silent Chollima), sebuah sub-kelompok dalam Lazarus Group.
"Andariel biasanya bertugas untuk akses awal, reconnaissance, dan membangun akses jangka panjang untuk spionase demi kepentingan nasional pemerintah Korea Utara," tulis peneliti Talos Jung soo An, Asheer Malhotra, dan Vitor Ventura dalam laporan teknisnya.
Rantai serangan melibatkan eksploitasi CVE-2021-44228 (alias Log4Shell) terhadap server VMWare Horizon yang dapat diakses secara publik untuk mengirimkan NineRAT. Beberapa sektor yang menjadi target utama adalah manufaktur, pertanian, dan keamanan fisik (physical security).
Log4Shell exploit bukanlah hal yang mengejutkan mengingat 2,8% dari aplikasi masih menggunakan versi rentan dari library tersebut (dari 2.0-beta9 hingga 2.15.0) setelah dua tahun eksploitasi tersebut dipublikasikan, sekitar 3,8% lainnya masih menggunakan Log4j 2.17.0, meskipun tidak rentan terhadap CVE-2021-44228, tapi rentan terhadap CVE-2021-44832.
NineRAT pertama kali dikembangkan sekitar Mei 2022. Selanjutnya NineRAT juga digunakan sejak Maret 2023 dalam serangan yang menargetkan perusahaan pertanian Amerika Selatan, dan kemudian kembali digunakan pada September 2023 pada perusahaan manufaktur Eropa. Dengan menggunakan Telegram untuk komunikasi command-and-control (C2), tujuannya adalah untuk menghindari deteksi.
NineRAT bertindak sebagai sarana interaksi utama dengan titik akhir yang terinfeksi, memungkinkan penyerang mengirim perintah untuk mengumpulkan informasi sistem, mengupload file yang diinginkan, mendownload file tambahan, dan bahkan menghapus instalan dan memperbarui dirinya sendiri.
"Saat NineRAT diaktifkan, ia menerima perintah awal dari saluran C2 berbasis Telegram, untuk kembali mengambil fingerprint pada sistem yang terinfeksi," kata para peneliti.
"Fingerprint ulang dari sistem yang terinfeksi menunjukkan bahwa data yang dikumpulkan oleh Lazarus Group melalui NineRAT dapat dibagikan oleh kelompok APT lain yang pada dasarnya berada di repositori yang berbeda dari data fingerprint yang awalnya dikumpulkan oleh Lazarus Group selama fase akses awal dan pemasangan implan malware."
Selanjutnya serangan setelah reconnaissance adalah tools proxy khusus yang disebut HazyLoad yang sebelumnya diidentifikasi oleh Microsoft. HazyLoad diunduh dan dieksekusi menggunakan malware lain yang disebut BottomLoader.
Selain itu, Operasi Blacksmith juga mengirimkan DLRAT, yang merupakan downloader dan RAT yang dilengkapi untuk melakukan reconnaissance sistem, menyebarkan malware tambahan, dan mengambil perintah dari command-and-control (C2) dan menjalankannya di sistem yang terinfeksi.
"Berbagai tools yang memberikan pintu masuk backdoor yang tumpang tindih memberikan Lazarus Group redundansi jika suatu saat malware tersebut ditemukan, sehingga memungkinkan akses yang sangat persisten," kata para peneliti.
Log4Shell exploit yang digunakan Andariel bukanlah hal yang baru, karena kelompok hacker ini telah menggunakan kerentanannya sebagai vektor akses awal untuk mengirimkan Remote Access Trojan (RAT) yang disebut EarlyRat.
Pengungkapan ini muncul ketika AhnLab Security Emergency Response Center (ASEC) merinci penggunaan Kimsuky terhadap versi AutoIt dari malware seperti Amadey dan RftRAT serta mendistribusikannya melalui serangan spear phishing yang memuat lampiran dan tautan yang berbahaya untuk menghindari produk keamanan.
Kimusky, juga dikenal dengan nama APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (sebelumnya Thallium), Nickel Kimball, dan Velvet Chollima, adalah elemen yang beroperasi di bawah Reconnaissance General Bureau (RGB) Korea Utara, yang juga menaungi Lazarus Group.
Hal itu dikenai sanksi oleh U.S. Department of the Treasury pada 30 November 2023, karena mengumpulkan intelijen untuk mendukung tujuan rezim tersebut.
"Setelah mengambil kontrol atas sistem yang terinfeksi, untuk menggali informasi, kelompok Kimsuky memasang berbagai malware seperti keylogger dan tools yang mengekstrak akun dan cookie dari browser web," kata ASEC dalam analisis yang dipublikasikan minggu lalu.
Posting Komentar untuk "Lazarus Group Gunakan Log4j Exploit untuk Kirim Remote Access Trojan"