Hacker Korea Utara Memulai Tahun Baru dengan Serangan ke Kementerian Luar Negeri Rusia

  • Whatsapp
North Korean Hackers
Hacker Korea Utara Memulai Tahun Baru dengan Serangan ke Kementerian

News.nextcloud.asia –

Hacker Korea Utara

Kelompok spionase siber Korea Utara bernama Konni telah dikaitkan dengan serangkaian serangan yang ditargetkan yang ditujukan pada Kementerian Luar Negeri Federasi Rusia (MID) dengan umpan Tahun Baru untuk mengkompromikan sistem Windows dengan malware.

“Kluster aktivitas ini menunjukkan sifat sabar dan gigih dari aktor tingkat lanjut dalam melancarkan kampanye multi-tahap terhadap jaringan bernilai tinggi yang dirasakan,” peneliti dari Black Lotus Labs Lumen Technologies dikatakan dalam analisis yang dibagikan kepada The Hacker News.

Taktik, teknik, dan prosedur (TTP) kelompok Konni diketahui tumpang tindih dengan aktor ancaman yang tergabung dalam payung Kimsuky yang lebih luas, yang juga dilacak oleh komunitas keamanan siber di bawah moniker Velvet Chollima, ITG16, Black Banshee, dan Thallium.

Pencadangan GitHub Otomatis

Serangan terbaru melibatkan aktor yang mendapatkan akses ke jaringan target melalui kredensial yang dicuri, mengeksploitasi pijakan untuk memuat malware untuk tujuan pengumpulan intelijen, dengan tanda-tanda awal aktivitas didokumentasikan oleh MalwareBytes hingga Juli 2021.

Pengulangan berikutnya dari kampanye phishing diyakini telah berlangsung dalam tiga gelombang — yang pertama dimulai pada 19 Oktober 2021 untuk mengumpulkan kredensial dari personel MID, diikuti dengan memanfaatkan umpan bertema COVID-19 pada November untuk menginstal versi nakal dari mandat Rusia. perangkat lunak pendaftaran vaksinasi yang berfungsi sebagai loader untuk muatan tambahan.

Hacker Korea Utara

“Waktu kegiatan ini sangat selaras dengan berlalunya Undang-undang Paspor Vaksin Rusia yang mengamanatkan orang Rusia harus menerima kode QR dari pemerintah untuk membuktikan vaksinasi untuk mengakses tempat-tempat umum seperti restoran dan bar,” catat para peneliti.

Serangan ketiga, juga dikuatkan oleh Gugus25 awal pekan ini, dimulai pada 20 Desember 2021, menggunakan perayaan Malam Tahun Baru sebagai tema spear-phishing untuk memicu rantai infeksi multi-tahap yang memuncak dalam pemasangan trojan akses jarak jauh bernama Konni RAT.

Mencegah Pelanggaran Data

Secara khusus, penyusupan terjadi dengan terlebih dahulu merusak akun email milik anggota staf MID, dari mana email dikirim ke setidaknya dua entitas MID lainnya, termasuk Kedutaan Besar Rusia di Indonesia dan Sergey Alexeyevich Ryabkov, seorang wakil menteri yang mengawasi non-proliferasi dan kontrol senjata.

Pesan email tersebut tampaknya menyebarkan pesan “Selamat Tahun Baru”, hanya berisi lampiran screensaver trojan yang dirancang untuk mengambil dan menjalankan executable tahap berikutnya dari server jauh. Tahap terakhir serangan adalah penyebaran trojan Konni RAT, yang melakukan pengintaian terhadap mesin yang terinfeksi dan mengekstrak informasi yang dikumpulkan kembali ke server.

“Meskipun kampanye khusus ini sangat ditargetkan, sangat penting bagi para pembela HAM untuk memahami kemampuan yang berkembang dari aktor tingkat lanjut untuk mencapai infeksi target yang didambakan,” kata peneliti, mendesak organisasi untuk berhati-hati terhadap email phishing dan menggunakan otentikasi multi-faktor untuk mengamankan akun.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *