Para peneliti di WithSecure telah mengungkap kampanye serangan dunia maya yang terkait dengan Grup Lazarus Korea Utara yang terkenal.
Sangat jarang untuk dapat menghubungkan kampanye yang begitu kuat dengan pelaku seperti yang dapat dilakukan WithSecure di sini. Peretas telah menargetkan penelitian medis dan organisasi energi dengan maksud untuk melakukan spionase.
Sasarannya termasuk organisasi penelitian kesehatan, produsen teknologi yang digunakan di sektor energi, penelitian, pertahanan, dan kesehatan, serta departemen teknik kimia dari universitas riset terkemuka.
Ada beberapa elemen yang menarik dari kampanye ini dibandingkan dengan kegiatan Lazarus sebelumnya. Ini termasuk penggunaan infrastruktur baru, dengan satu-satunya ketergantungan pada alamat IP tanpa nama domain (berbeda dari serangan sebelumnya).
Ada juga versi modifikasi dari malware pencuri informasi Dtrack yang digunakan oleh Lazarus Group dan Kimsuky – grup lain yang terkait dengan Korea Utara – dalam serangan sebelumnya, bersama dengan versi baru GREASE – malware yang memungkinkan penyerang membuat akun administrator baru dengan hak istimewa protokol desktop jarak jauh yang melewati firewall.
“Meskipun ini awalnya dicurigai sebagai percobaan serangan ransomware BianLian, bukti yang kami kumpulkan dengan cepat mengarah ke arah yang berbeda. Dan saat kami mengumpulkan lebih banyak bukti, kami menjadi lebih yakin bahwa serangan itu dilakukan oleh kelompok yang terkait dengan pemerintah Korea Utara, akhirnya mengarahkan kami untuk dengan yakin menyimpulkan bahwa itu adalah Lazarus Group,” kata peneliti intelijen ancaman senior WithSecure, Sami Ruohonen.
Serangan itu diidentifikasi sebagian karena kesalahan di mana penyerang secara singkat menggunakan salah satu dari kurang dari seribu alamat IP milik Korea Utara.
Namun kepala intelijen ancaman WithSecure, Tim West, mengatakan hal ini bukanlah alasan untuk berpuas diri, “Walaupun opsec gagal, aktor tersebut menunjukkan keterampilan yang baik dan masih berhasil melakukan tindakan yang dipertimbangkan pada titik akhir yang dipilih dengan hati-hati. Bahkan dengan teknologi deteksi titik akhir yang akurat, organisasi perlu untuk terus mempertimbangkan bagaimana mereka menanggapi peringatan, dan juga mengintegrasikan intelijen ancaman terfokus dengan perburuan reguler untuk memberikan pertahanan yang lebih baik secara mendalam, terutama melawan musuh yang cakap dan mahir.”
Laporan lengkap tersedia di situs WithSecure.
Kredit gambar: tang90246/depositphotos.com
