Peneliti Mengungkap Operasi Peretasan yang Menargetkan Entitas Pemerintah di Korea Selatan

  • Whatsapp
Kimsuky APT

Seorang aktor ancaman Korea Utara yang aktif sejak 2012 berada di balik kampanye spionase baru yang menargetkan pejabat tinggi pemerintah terkait dengan mitra selatannya untuk memasang pintu belakang Android dan Windows untuk mengumpulkan informasi sensitif.

Perusahaan keamanan siber Malwarebytes dikaitkan aktivitas terhadap aktor ancaman yang dilacak sebagai Kimsuky, dengan entitas yang ditargetkan terdiri dari Korea Internet and Security Agency (KISA), Kementerian Luar Negeri, Duta Besar Kedutaan Besar Sri Lanka untuk Negara, Badan Energi Atom Internasional (IAEA) Nuklir Petugas Keamanan, Wakil Konsul Jenderal di Konsulat Jenderal Korea di Hong Kong, Universitas Nasional Seoul, dan Daishin Securities.

Bacaan Lainnya

auditor kata sandi

Perkembangan tersebut hanya yang terbaru dari serangkaian upaya pengawasan yang ditujukan ke Korea Selatan. Diyakini beroperasi atas nama rezim Korea Utara, Kimsuky (alias Velvet Chollima, Black Banshee, dan Thallium) memiliki rekam jejak dalam memilih entitas Korea Selatan sambil memperluas viktimologi mereka ke AS, Rusia, dan berbagai negara di Eropa.

November lalu, musuh dikaitkan dengan suite spyware modular baru yang disebut “KGH_SPY,” yang memungkinkannya melakukan pengintaian jaringan target, mencatat penekanan tombol, dan mencuri informasi rahasia, serta malware tersembunyi dengan nama “CSPY Downloader” yang dirancang untuk menggagalkan analisis dan mengunduh muatan tambahan.

Infrastruktur serangan Kimsuky terdiri dari berbagai situs web phishing yang meniru situs web terkenal seperti Gmail, Microsoft Outlook, dan Telegram dengan tujuan untuk mengelabui korban agar memasukkan kredensial mereka. “Ini adalah salah satu metode utama yang digunakan aktor ini untuk mengumpulkan alamat email yang nantinya akan digunakan untuk mengirim email spear-phishing,” kata peneliti Malwarebytes Hossein Jazi.

Dalam menggunakan rekayasa sosial sebagai komponen inti dari operasinya, tujuannya adalah untuk mendistribusikan penetes malware yang berbentuk file arsip ZIP yang dilampirkan ke email, yang pada akhirnya mengarah pada penyebaran muatan DLL yang disandikan yang disebut Biji Apel, pintu belakang yang digunakan oleh Kimsuky awal 2019.

“Selain menggunakan backdoor AppleSeed untuk menyasar pengguna Windows, pelaku juga menggunakan backdoor Android untuk menyasar pengguna Android,” kata Jazi. “Pintu belakang Android dapat dianggap sebagai varian seluler dari pintu belakang AppleSeed. Ini menggunakan pola perintah yang sama dengan Windows. Juga, pintu belakang Android dan Windows telah menggunakan infrastruktur yang sama.”

AppleSeed memiliki semua keunggulan pintu belakang yang khas, dengan segudang kemampuan untuk merekam penekanan tombol, menangkap tangkapan layar, mengumpulkan dokumen dengan ekstensi tertentu (.txt, .ppt, .hwp, .pdf, dan .doc), dan mengumpulkan data dari perangkat media yang dapat dipindahkan terhubung ke mesin, yang semuanya kemudian diunggah ke server perintah-dan-kontrol jarak jauh.

Tapi mungkin penemuan yang paling menarik dari semuanya adalah bahwa aktor ancaman menyebut diri mereka Thallium dalam kode sumber malware, yang merupakan moniker ditugaskan oleh Microsoft berdasarkan tradisi penamaan kelompok peretasan negara-bangsa dengan unsur kimia.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *