Peretas APT37 Korea Utara Menyerang Negara Uni Eropa

  • Whatsapp
Peretas APT37 Korea Utara Menyerang Negara Uni Eropa
Peretas APT Korea Utara Menyerang Negara Uni Eropa
Peretas Menyerang Negara Uni Eropa

Telah telah menemukan oleh peneliti keamanan di Securonix bahwa APT37, grup peretas Korea Utara, telah meluncurkan kampanye baru yang terkait dengan grup tersebut. Grup ini menargetkan organisasi bernilai tinggi yang berlokasi di negara-negara berikut:-

  • negara-negara Eropa
  • Republik Ceko
  • Polandia

Peretas menggunakan malware yang dikenal sebagai Konni, yang merupakan RAT yang dapat digunakan sebagai alat terlarang dalam kampanye ini. Selain kemampuan untuk melakukan penyadapan terus-menerus pada host, RAT ini juga mampu meningkatkan hak istimewa pada host.

Pada tahun 2014, serangan siber Korea Utara dikaitkan dengan Konni, yang telah dikaitkan dengan mereka sejak saat itu. Ada beberapa kampanye spear-phishing baru-baru ini yang menargetkan Kementerian Luar Negeri Rusia, termasuk yang terbaru.

Rantai Kampanye & Infeksi

STIFF#BIZON adalah nama yang diberikan untuk kampanye terbaru dan aktif dalam rantai tersebut. Kampanye ini menggunakan taktik dan metode yang serupa dengan yang digunakan oleh kelompok Ancaman Persisten Tingkat Lanjut.

Serangan dilakukan dengan email phishing yang berisi lampiran arsip yang berisi file-file berikut:-

  • Dokumen Word (missile.docx)
  • File Pintasan Windows (_weapons.doc.lnk.lnk)

Saat membuka file LNK, skrip PowerShell yang disandikan base64 ditemukan di dalam file DOCX yang telah dibuat oleh skrip ini.

Akibatnya, dua file tambahan akan diunduh untuk membangun komunikasi C2 antara kedua server, dan mereka tercantum di bawah ini:-

Sekarang pada titik ini, dokumen yang Anda unduh adalah iming-iming yang berpura-pura menjadi laporan dari koresponden perang Rusia, Olga Bozheva. Saat proses sedang berlangsung, operasi diam di latar belakang sedang dilakukan oleh file VBS untuk membuat tugas terjadwal di server.

Tautan pertukaran data dibuat antara aktor ancaman dan RAT ketika aktor ancaman memuat RAT di host. Selain itu, ia memiliki kemampuan untuk melakukan kegiatan terlarang berikut:-

  • Menggunakan Win32 GDI API, dapat menangkap tangkapan layar dan kemudian mengekstraknya dalam bentuk file GZIP.
  • Agar enkripsi cookie dapat dilewati, kunci status disimpan dalam file Status Lokal dan dapat diekstraksi untuk mendekripsi database cookie.
  • Menggunakan browser web korban, ekstrak kredensial yang disimpan.
  • Setiap 10 detik, ia memiliki kemampuan untuk meluncurkan shell interaktif yang dapat digunakan untuk menjalankan perintah dari jarak jauh.

Koneksi dengan APT28!

APT37 tampaknya menjadi kandidat yang paling cocok untuk STIFF#BIZON karena taktik dan perangkat yang digunakan, namun, para ahli di Securonix mengakui bahwa APT28 (alias FancyBear) mungkin juga terlibat.

Untuk menyembunyikan jejak mereka dan menyesatkan analis ancaman, kelompok APT yang disponsori negara sering kali meniru taktik dan taktik kelompok APT yang mahir dan canggih lainnya.

Dalam kasus seperti itu, ada kemungkinan kesalahan atribusi yang tinggi, sehingga ada risiko signifikan yang terlibat.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.