Peneliti Mengungkap Infra Kimusky yang Menargetkan Politisi dan Diplomat Korea Selatan

  • Bagikan
Kimusky North Korean Hackers

Beritaini.top Peneliti Mengungkap Infra Kimusky yang Menargetkan Politisi dan Diplomat Korea Selatan

Kimussky Hacker Korea Utara

Kelompok negara-bangsa Korea Utara, Kimusky, telah dikaitkan dengan serangkaian kegiatan jahat baru yang ditujukan terhadap entitas politik dan diplomatik yang berlokasi di mitra selatannya pada awal 2022.

Perusahaan keamanan siber Rusia Kaspersky menamai cluster tersebut Naga Emasdengan rantai infeksi yang mengarah pada penyebaran malware Windows yang dirancang untuk membuat daftar file, penekanan tombol pengguna, dan kredensial login browser web yang tersimpan.

Termasuk di antara calon korban adalah profesor universitas Korea Selatan, peneliti think tank, dan pejabat pemerintah.

Keamanan cyber

Kimsuky, juga dikenal sebagai Black Banshee, Thallium, dan Velvet Chollima, adalah nama yang diberikan kepada kelompok ancaman persisten tingkat lanjut (APT) Korea Utara yang produktif yang menargetkan entitas secara global, tetapi dengan fokus utama pada Korea Selatan, untuk mendapatkan intelijen tentang berbagai topik menarik bagi rezim.

Dikenal beroperasi sejak 2012, kelompok ini memiliki sejarah menggunakan taktik rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengekstrak informasi yang diinginkan dari para korban.

Akhir bulan lalu, perusahaan keamanan siber Volexity mengaitkan aktor tersebut dengan misi pengumpulan intelijen yang dirancang untuk menyedot konten email dari Gmail dan AOL melalui ekstensi browser Chrome berbahaya yang dijuluki Sharpext.

Kampanye terbaru mengikuti modus operandi serupa di mana urutan serangan dimulai melalui pesan spear-phishing yang berisi dokumen Microsoft Word tertanam makro yang konon menampilkan konten yang terkait dengan masalah geopolitik di wilayah tersebut.

Kimussky Hacker Korea Utara

Rute akses awal alternatif juga dikatakan memanfaatkan file HTML Application (HTA) dan Compiled HTML Help (CHM) sebagai umpan untuk mengkompromikan sistem.

Terlepas dari metode yang digunakan, akses awal diikuti dengan menjatuhkan Visual Basic Script dari server jauh yang diatur untuk sidik jari mesin dan mengambil muatan tambahan, termasuk executable yang mampu mengekstrak informasi sensitif.

Keamanan cyber

Apa yang baru tentang serangan itu adalah transmisi alamat email korban ke server command-and-control (C2) jika penerima mengklik tautan di email untuk mengunduh dokumen tambahan. Jika permintaan tidak berisi alamat email yang diharapkan, dokumen jinak dikembalikan.

Untuk lebih memperumit rantai pembunuhan, server C2 tahap pertama meneruskan alamat IP korban ke server VBS lain, yang kemudian membandingkannya dengan permintaan masuk yang dihasilkan setelah target membuka dokumen iming-iming.

“Metodologi verifikasi korban” di dua server C2 memastikan bahwa VBScript dikirim hanya ketika pemeriksaan alamat IP berhasil, menunjukkan pendekatan yang sangat bertarget.

“Grup Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis,” kata peneliti Kaspersky, Seongsu Park. “Kesulitan utama dalam melacak kelompok ini adalah sulitnya mendapatkan rantai infeksi penuh.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.