Lazarus Menargetkan Sektor Kimia Dengan 'Pekerjaan Impian', Kemudian Trojan

Lazarus Menargetkan Sektor Kimia Dengan ‘Pekerjaan Impian’, Kemudian Trojan


Kelompok Lazarus yang terkait dengan Korea Utara mengirim tawaran pekerjaan palsu ke goal di sektor kimia dan perusahaan teknologi informasi, yang — ketika dibuka — menginstal program kuda Trojan untuk mengumpulkan informasi dan mengirimkannya kembali ke penyerang, kata lengan keamanan penyedia teknologi Broadcom Symantec dalam nasihat pada 14 April.

Serangan tersebut merupakan bagian dari kampanye yang telah berjalan lama — dijuluki Operation Dream Job — yang mengirimkan goal di industri tertentu file Internet berbahaya yang disamarkan sebagai tawaran pekerjaan, yang ketika dibuka mencoba untuk mengkompromikan sistem. Sementara rangkaian serangan saat ini berfokus pada perusahaan kimia Korea Selatan dan penyedia layanan TI mereka, goal lainnya termasuk industri dan lembaga pemerintah di Eropa, Asia, dan Amerika Serikat. Kampanye ini menandai pergeseran, karena Lazarus di masa lalu menargetkan sektor pertahanan, pemerintahan, dan teknik.

Serangan itu, pada berbagai waktu, menargetkan kontraktor pertahanan, perusahaan teknik, lembaga pemerintah, dan bahkan perusahaan farmasi selama puncak pandemi, kata Dick O’Brien, analis intelijen utama untuk tim pemburu ancaman Symantec.

“Penyerang yang terkait dengan Korea Utara memiliki sejarah panjang dalam menargetkan kekayaan intelektual, mungkin untuk membantu proyek-proyek rekayasa atau teknologi yang penting secara strategis,” katanya, menambahkan: “Di semua serangan, kami telah melihat serangkaian pencurian information. [and] alat eksfiltrasi information yang digunakan pada komputer yang terinfeksi. Kami berasumsi bahwa mereka mengambil apa yang mereka butuhkan sebelum melanjutkan.”

Perusahaan keamanan dan teknologi lainnya juga telah mendokumentasikan keterlibatan Lazarus dalam Operation Dream Job, yang oleh beberapa peneliti dilacak sebagai Operation AppleJeus. Pada awal tahun 2021, grup Lazarus menargetkan peneliti keamanan dengan tawaran serupa untuk pekerjaan tingkat tinggi di industri. Dan, awal tahun ini, para penyerang menargetkan lebih dari 250 orang yang bekerja untuk media berita, vendor perangkat lunak, dan penyedia infrastruktur Web, menggunakan tawaran pekerjaan yang tampaknya berasal dari Disney, Google, dan Oracle, menurut Google, yang melacak kampanye tersebut.

Kampanye terkait menargetkan cryptocurrency dan teknologi keuangan dan perusahaan layanan, Adam Weidemann, seorang peneliti di Grup Analisis Ancaman Google, dinyatakan dalam posting weblog akhir Maret.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan equipment eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulisnya. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Kampanye Jangka Panjang
Penasihat 14 April dari Symantec mencatat bahwa kampanye dimulai setidaknya pada awal Agustus 2020, meskipun dengan serangkaian goal yang berbeda. Sementara kampanye saat ini menargetkan sektor kimia, kampanye yang ditemukan pada tahun 2020 berfokus pada lembaga pemerintah dan kontraktor pertahanan, perusahaan dinyatakan dalam nasehatnya.

“Operation Dream Job melibatkan Lazarus menggunakan tawaran pekerjaan palsu sebagai sarana untuk memikat korban agar mengklik tautan berbahaya atau membuka lampiran berbahaya yang akhirnya mengarah pada pemasangan malware yang digunakan untuk spionase,” kata perusahaan itu.

Tim ancaman Symantec menguraikan langkah-langkah dalam serangan yang berhasil pada Januari 2022, yang selesai kurang dari empat hari setelah goal menerima file hingga eksekusi akhir program yang mengumpulkan dan mengekstrak information sistem. Setelah pengguna yang ditargetkan membuka tawaran pekerjaan palsu, serangan itu mengeksploitasi kerentanan di salah satu dari dua paket perangkat lunak, Klien INISAFE Internet EX untuk manajemen sistem atau MagicLine, program manajemen gymnasium, kata O’Brien dari Symantec.

“Mereka bukan nama rumah tangga bagi kami, tetapi asumsi kerja kami adalah mereka banyak digunakan di industri atau sektor yang saat ini mereka targetkan,” katanya. “Hipotesis alternatifnya adalah mereka menginstal perangkat lunak itu sendiri untuk menyuntikkan ke dalamnya, tetapi kami belum melihat bukti itu.”

Sementara perusahaan yang tidak menjalankan salah satu aplikasi mungkin tidak perlu khawatir tentang serangan khusus ini, kelompok spionase dunia maya seperti Lazarus sangat pandai menyesuaikan serangan agar sesuai dengan lingkungan goal mereka, katanya.

Untuk alasan itu, tidak ada solusi tunggal yang akan membantu mencegah serangan spionase dunia maya, O’Brien menekankan. Sebaliknya, perusahaan harus mengambil pendekatan berlapis untuk pertahanan, menggunakan deteksi jaringan, keamanan titik akhir, dan teknologi pengerasan — seperti otentikasi multifaktor — untuk melindungi dari berbagai vektor serangan, katanya.

“Kami juga menyarankan penerapan audit dan kontrol yang tepat atas penggunaan akun administratif, [and] Anda juga dapat memperkenalkan kredensial satu kali untuk pekerjaan administratif guna membantu mencegah pencurian dan penyalahgunaan kredensial admin,” kata O’Brien. “Kami juga menyarankan untuk membuat profil penggunaan untuk alat admin, [because] banyak dari alat ini digunakan oleh penyerang untuk bergerak secara lateral tanpa terdeteksi melalui jaringan.”

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts