Pelaku ancaman yang terkait dengan Korea Utara meningkatkan operasi siber mereka dengan menggunakan alat malware terdesentralisasi dan sulit dideteksi, menurut temuan baru dari Cisco Talos dan Google Threat Intelligence Group.
Kampanye ini bertujuan mencuri aset kripto, menyusup ke jaringan, dan menghindari deteksi melalui penipuan rekrutmen kerja yang canggih.
Teknik Malware yang Berkembang Mencerminkan Kemampuan yang Meluas
Peneliti Cisco Talos mengidentifikasi kampanye yang sedang berlangsung oleh kelompok Korea Utara, Famous Chollima. Kelompok ini menggunakan dua strain malware yang saling melengkapi, BeaverTail dan OtterCookie. Program ini, yang secara tradisional digunakan untuk pencurian kredensial dan eksfiltrasi data, kini telah berkembang dengan mengintegrasikan fungsionalitas baru dan interaksi yang lebih erat.
SponsoredDalam insiden terbaru yang melibatkan sebuah organisasi di Sri Lanka, penyerang memancing seorang pencari kerja untuk menginstal kode berbahaya yang disamarkan sebagai bagian dari evaluasi teknis. Meskipun organisasi itu sendiri bukan target langsung, analis Cisco Talos juga mengamati modul keylogging dan screenshot yang terkait dengan OtterCookie, yang menyoroti risiko lebih luas bagi individu yang terlibat dalam tawaran pekerjaan palsu. Modul ini diam-diam merekam penekanan tombol dan menangkap gambar desktop, secara otomatis mengirimkannya ke server perintah jarak jauh.
Pengamatan ini menegaskan evolusi berkelanjutan dari kelompok ancaman yang terkait dengan Korea Utara dan fokus mereka pada teknik rekayasa sosial untuk mengkompromikan target yang tidak curiga.
Blockchain Digunakan sebagai Infrastruktur Komando
Google’s Threat Intelligence Group (GTIG) mengidentifikasi operasi oleh aktor yang terkait dengan Korea Utara, UNC5342. Kelompok ini menggunakan malware baru bernama EtherHiding. Alat ini menyembunyikan payload JavaScript berbahaya di blockchain publik, mengubahnya menjadi jaringan command and control (C2) terdesentralisasi.
Dengan menggunakan blockchain, penyerang dapat mengubah perilaku malware dari jarak jauh tanpa server tradisional. Penindakan hukum menjadi jauh lebih sulit. Selain itu, GTIG melaporkan bahwa UNC5342 menerapkan EtherHiding dalam kampanye rekayasa sosial bernama Contagious Interview, yang sebelumnya telah diidentifikasi oleh Palo Alto Networks, menunjukkan ketekunan pelaku ancaman yang terkait dengan Korea Utara.
Menargetkan Pencari Kerja untuk Mencuri Aset Kripto dan Data
Menurut peneliti Google, operasi siber ini biasanya dimulai dengan lowongan pekerjaan palsu yang ditujukan kepada para profesional di industri aset kripto dan keamanan siber. Korban diundang untuk berpartisipasi dalam penilaian palsu, di mana mereka diarahkan untuk mengunduh file yang disematkan dengan kode berbahaya.
Proses infeksi sering melibatkan beberapa keluarga malware, termasuk JadeSnow, BeaverTail, dan InvisibleFerret. Bersama-sama, mereka memungkinkan penyerang mengakses sistem, mencuri kredensial, dan menyebarkan ransomware dengan efisien. Tujuan akhirnya berkisar dari spionase dan pencurian finansial hingga infiltrasi jaringan jangka panjang.
Cisco dan Google telah menerbitkan indikator kompromi (IOCs) untuk membantu organisasi mendeteksi dan merespons ancaman siber yang terkait dengan Korea Utara. Sumber daya ini menyediakan detail teknis untuk mengidentifikasi aktivitas berbahaya dan mengurangi potensi pelanggaran. Peneliti memperingatkan bahwa integrasi blockchain dan malware modular kemungkinan akan terus mempersulit upaya pertahanan keamanan siber global.
