Serangan Malware pada Entitas Korea Selatan Adalah Pekerjaan Andariel Group

  • Whatsapp
Serangan Malware

Kampanye malware yang menargetkan entitas Korea Selatan yang terungkap awal tahun ini telah dikaitkan dengan kelompok peretas negara-bangsa Korea Utara yang disebut Andariel, sekali lagi menunjukkan bahwa Lazarus penyerang mengikuti tren dan gudang senjata mereka terus berkembang.

“Cara perintah Windows dan opsinya digunakan dalam kampanye ini hampir identik dengan aktivitas Andariel sebelumnya,” firma keamanan siber Rusia Kaspersky berkata dalam deep-dive yang diterbitkan Selasa. Korban serangan berada di sektor manufaktur, layanan jaringan rumah, media, dan konstruksi.

Bacaan Lainnya

Tim Stack Overflow

Ditunjuk sebagai bagian dari konstelasi Lazarus, Andariel dikenal karena melancarkan serangan terhadap organisasi dan bisnis Korea Selatan menggunakan metode yang dirancang khusus yang dibuat untuk efektivitas maksimum. Pada bulan September 2019, sub-grup, bersama dengan Lazarus dan Bluenoroff, adalah disetujui oleh Departemen Keuangan AS untuk aktivitas siber jahat mereka di infrastruktur penting.

Andariel diyakini telah aktif setidaknya sejak Mei 2016.

Serangan Malware

Korea Utara berada di belakang upaya yang semakin terorganisir bertujuan untuk menyusup ke komputer lembaga keuangan di Korea Selatan dan di seluruh dunia serta melakukan perampokan cryptocurrency untuk mendanai negara yang kekurangan uang dalam upaya untuk menghindari cengkeraman sanksi ekonomi diberlakukan untuk menghentikan pengembangan program senjata nuklirnya.

Temuan dari Kaspersky didasarkan pada laporan sebelumnya dari Malwarebytes pada April 2021, yang mendokumentasikan rantai infeksi baru yang mendistribusikan email phishing yang dipersenjatai dengan makro yang disematkan dalam file Word yang dieksekusi saat dibuka untuk menyebarkan kode berbahaya yang disembunyikan dalam bentuk bitmap (.BMP) file gambar untuk menjatuhkan trojan akses jarak jauh (RAT) pada sistem yang ditargetkan.

Menurut analisis terbaru, pelaku ancaman, selain memasang pintu belakang, juga dikatakan telah mengirimkan ransomware enkripsi file ke salah satu korbannya, yang menyiratkan motif finansial untuk serangan tersebut. Perlu dicatat bahwa Andariel memiliki rekam jejak mencoba mencuri informasi kartu bank dengan meretas ATM untuk menarik uang tunai atau menjual informasi pelanggan di pasar gelap.

Manajemen Kata Sandi Perusahaan

“Sampel ransomware ini dibuat khusus dan dikembangkan secara khusus oleh aktor ancaman di balik serangan ini,” kata Peneliti Keamanan Senior Kaspersky, Seongsu Park. Ransomware ini dikendalikan oleh parameter baris perintah dan dapat mengambil kunci enkripsi dari C2 [server] atau, sebagai alternatif, sebagai argumen pada waktu peluncuran.”

Ransomware dirancang untuk mengenkripsi semua file di mesin dengan pengecualian ekstensi penting “.exe,” “.dll,” “.sys,” “.msiins,” dan “.drv” sebagai imbalan untuk membayar bitcoin tebusan untuk mendapatkan akses ke alat dekripsi dan kunci unik untuk membuka kunci file yang diacak.

Atribusi Kaspersky ke Andariel berasal dari tumpang tindih dalam rutinitas dekripsi berbasis XOR yang telah dimasukkan ke dalam taktik grup pada awal 2018 dan dalam perintah pasca-eksploitasi yang dijalankan pada mesin korban.

“Kelompok Andariel terus fokus pada target di Korea Selatan, tetapi alat dan teknik mereka telah berkembang pesat,” kata Park. “Kelompok Andariel bermaksud untuk menyebarkan ransomware melalui serangan ini dan, dengan melakukan itu, mereka telah menggarisbawahi tempat mereka sebagai aktor yang disponsori negara dengan motivasi finansial.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *