Kelompok ancaman Korea Utara Lazarus diamati menyalahgunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya selama kampanye bulan ini, Malwarebytes melaporkan.
Aktif setidaknya sejak 2009, Lazarus adalah kelompok peretasan paling aktif yang disponsori negara Korea Utara, dengan banyak faksi yang beroperasi di bawah payungnya. Diyakini telah mengatur berbagai serangan siber tingkat tinggi, kelompok tersebut mencuri aset kripto senilai $400 juta tahun lalu.
Dua dokumen umpan makro yang berbeda yang menyamar sebagai peluang kerja di keamanan global Amerika dan raksasa kedirgantaraan Lockheed Martin digunakan dalam Kampanye Lazarus Januari 2022, keduanya membawa stempel waktu kompilasi April 2020.
Sebagai bagian dari serangan pertama yang diamati, makro berbahaya yang disematkan di dalam dokumen Word dieksekusi untuk melakukan berbagai injeksi dan untuk mencapai kegigihan. Selanjutnya, kode membajak aliran kontrol untuk mengeksekusi kode di memori.
Aktor ancaman telah menggunakan proses eksekusi kode canggih yang melibatkan modifikasi berbagai fungsi untuk memastikan injeksi DLL yang berhasil ke dalam proses explorer.exe.
[BACA: Peretas Korea Utara Menargetkan Rantai Pasokan TI: Kaspersky]
Selain itu, rantai eksekusi juga melibatkan pengiriman parameter tertentu ke Klien Pembaruan Windows untuk menyalahgunakannya untuk eksekusi kode, yang menghasilkan bypass mekanisme deteksi keamanan.
Peneliti keamanan Malwarebytes juga menemukan bahwa salah satu DLL yang digunakan dalam serangan tersebut ditandatangani dengan sertifikat yang dikeluarkan untuk โSAMOYAJ LIMITED.โ File disematkan dengan DLL yang berisi modul kode untuk malware yang bertanggung jawab atas komunikasi perintah dan kontrol (C&C).
Terlebih lagi, malware menggunakan GitHub sebagai C&C, dan Malwarebytes mengatakan bahwa ini adalah pertama kalinya Lazarus menggunakan platform hosting kode sedemikian rupa.
โMenggunakan Github sebagai C&C memiliki kelemahannya sendiri tetapi ini adalah pilihan cerdas untuk serangan yang ditargetkan dan jangka pendek karena mempersulit produk keamanan untuk membedakan antara koneksi yang sah dan berbahaya. Saat menganalisis modul inti, kami dapat memperoleh detail yang diperlukan untuk mengakses C&C, tetapi sayangnya modul tersebut sudah dibersihkan dan kami tidak dapat memperoleh banyak kecuali salah satu modul tambahan,โ kata peneliti keamanan.
[BACA: Grup Lazarus Menargetkan Korea Selatan melalui Serangan Rantai Pasokan]
Akun GitHUb yang digunakan untuk mengoperasikan malware dibuat pada 17 Januari, dengan nama pengguna โDanielManwarningRep.โ
Dokumen kedua dalam kampanye tersebut diamati menjatuhkan malware yang sama sekali berbeda sebagai bagian dari rantai infeksi yang juga melibatkan pembajakan aliran kontrol, bersama dengan teknik injeksi serupa yang digunakan oleh shellcode. Namun, dokumen ini menyalahgunakan mshta.exe dalam prosesnya.
Penggunaan peluang kerja sebagai umpan untuk phishing dan penargetan entitas di industri pertahanan sejalan dengan serangan Lazarus sebelumnya, sedangkan metadata kedua dokumen dalam kampanye ini menghubungkannya dengan dokumen Lazarus lainnya.
โMenggunakan peluang kerja sebagai template adalah metode yang dikenal digunakan oleh Lazarus untuk menargetkan para korbannya. Dokumen-dokumen yang dibuat oleh aktor ini dirancang dengan baik dan berisi ikon besar untuk perusahaan terkenal seperti LockHeed Martin, BAE Systems, Boeing dan Northrop Grumman dalam template,โ kata Malwarebytes.
Terkait: Pakar PBB: Korea Utara Menggunakan Serangan Cyber โโuntuk Memperbarui Nuklir
Terkait: AS Menuntut Peretas Korea Utara Lebih dari $ 1.3 Miliar Perampokan Bank
Terkait: AS Tuntut Korea Utara Atas Peretasan Grup Lazarus
Ionut Arghire adalah koresponden internasional untuk SecurityWeek.
Tags:
