Insinyur Pencari Kerja Menjadi Target Baru Lazarus Gang

Insinyur Pencari Kerja Menjadi Target Baru Lazarus Gang

 

Di tengah operasi pengiriman dokumentasi berbahaya ke pencari kerja, kelompok terkenal Lazarus advanced persistent threat (APT) telah diidentifikasi. Dalam hal ini, perusahaan pertahanan sedang mencari pekerjaan.
Sesuai makalah yang diterbitkan online oleh AT&T Alien Labs, para peneliti memantau aktivitas Lazarus selama berbulan-bulan dengan target teknis di Amerika Serikat dan Eropa.
Menurut pembuat laporan, Fernando Martinez, email dari kontraktor pertahanan terkemuka Airbus, General Motors (GM), dan Rheinmetall telah dikirim ke calon teknisi yang direkrut oleh maksud APT.
Dokumen Word dengan makro yang menanamkan kode berbahaya di PC korban disertakan dalam email untuk mencegah deteksi dengan mengubah pengaturan komputer target.
“Teknik inti untuk ketiga dokumen berbahaya itu sama, tetapi penyerang berusaha mengurangi potensi deteksi dan meningkatkan kemampuan makro,” tulis Martinez.
Operasi Lazarus adalah hal terbaru yang menargetkan bidang pertahanan. Pada bulan Februari, para ilmuwan mengaitkan kampanye spear-phishing 2020 dengan APT yang bertujuan untuk memperoleh data kunci dengan menggunakan malware canggih bernama ThreatNeedle dari organisasi pertahanan.
Memang, dengan Microsoft Office Macro yang digunakan dan infrastruktur komunikasi pihak ketiga yang terancam, Lazarus ditulis di seluruh serangan terbaru yang tetap ‘sejalan dengan kampanye Lazarus sebelumnya’ seperti yang dikatakan Martinez.
“Umpan serangan, yang berpotensi menargetkan profesional teknik di organisasi pemerintah, menunjukkan pentingnya melacak Lazarus dan evolusi mereka,” tulisnya. “Kami terus melihat Lazarus menggunakan taktik, teknik, dan prosedur yang sama dengan yang kami amati di masa lalu.”
Para peneliti dari AT&T Alien Labs telah melihat aktivitas Lazarus, mencoba menarik korban ke pekerjaan sistem Boeing dan BAE palsu. Martinez mencatat bahwa pengguna Twitter diperingatkan tentang kampanye saat ini karena pengguna Twitter mengidentifikasi berbagai makalah yang terkait dengan Lazarus oleh Rheinmetall, GM, dan Airbus dari Mei hingga Juni tahun ini.
Para peneliti telah menemukan bahwa kampanye yang menggunakan tiga dokumen baru sebanding dalam berkomunikasi dengan perintah dan kontrol tetapi mereka dapat melakukan aktivitas jahat dengan cara yang berbeda. Lazarus telah mengedarkan dua dokumen berbahaya terkait dengan perusahaan teknik industri pertahanan dan otomotif Jerman Rheinmetall. Yang kedua memiliki “konten yang lebih rumit,” yang memungkinkan para korban untuk tetap tidak diperhatikan, kata Martinez.
Salah satu aspek khas makro dalam dokumen berbahaya asli adalah mengganti nama perangkat lunak baris perintah Microsoft Docs Certutil untuk mencoba dan menyamarkan tindakannya.
“Makro mengeksekusi muatan yang disebutkan dengan teknik yang diperbarui,” tulis Martinez. “Para penyerang tidak lagi menggunakan Mavinject, tetapi langsung mengeksekusi payload dengan explorer.exe, secara signifikan memodifikasi pohon eksekusi yang dihasilkan.”
Karena perilaku produktif Lazarus secara historis – disebut sebagai kelompok ancaman “paling aktif” pada tahun 2020 oleh Kaspersky – serangan baru-baru ini terhadap teknisi “tidak diharapkan menjadi yang terakhir,” kata Martinez.
Taktik serangan yang mungkin menargetkan pakar teknis di organisasi pemerintah menggambarkan relevansi pelacakan Lazarus dan perkembangannya, Martinez menambahkan.

Pos terkait