Penyerang Lazarus Beralih ke Rantai Pasokan TI

Lazarus – grup ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan kerangka kerja MATA multi-platform.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan untuk menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk cyber-spionage.

“Aktor mengirimkan versi Trojan dari aplikasi yang diketahui digunakan oleh korban mereka. pilihan – karakteristik Lazarus yang terkenal,” tulis mereka dalam laporan intelijen ancaman triwulanan terbaru Kaspersky, yang dirilis pada Selasa. ThreatNeedle campaign.

Lazarus Meningkatkan Serangan Rantai Pasokan

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara dikenal sebagai BlindingCan.

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengirimkan peringatan tentang BlindingCan pada Agustus 2020, memperingatkan bahwa Hidden Cobra – nama lain untuk Lazarus yang digunakan oleh AS secara umum untuk merujuk pada aktivitas siber berbahaya oleh pemerintah Korea Utara – menggunakan BlindingCan untuk menyedot intelijen dari pakaian militer dan energi.

Para peneliti memiliki juga menemukan kampanye yang menargetkan think tank Korea Selatan – dengan rantai infeksi yang mencakup perangkat lunak keamanan Korea Selatan yang sah yang membawa muatan berbahaya – dan vendor alat pemantauan aset TI Latvia.

Lazarus Memiliki Rasa untuk Menyusup ke Militer

Peneliti mempertimbangkan Lazarus, yang telah aktif setidaknya sejak 2009, menjadi salah satu aktor ancaman paling aktif di dunia. “Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur pencari kerja dengan menyamar sebagai kontraktor pertahanan mencari kandidat pekerjaan.

Sebelum itu, pada bulan Februari, para peneliti menghubungkan kampanye spear phishing 2020 ke APT yang bertujuan mencuri data penting dari perusahaan pertahanan dengan memanfaatkan malware canggih yang disebut ThreatNeedle.

Betapa Racket

Sebagai bagian dari rantai infeksi melawan Latvia Vendor alat pemantau aset, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian. “Aktor tersebut mengkompromikan server web yang rentan dan mengunggah beberapa skrip untuk menyaring dan mengontrol implan berbahaya pada mesin yang berhasil diretas,” kata Kaspersky dalam ringkasan laporan triwulanannya, yang dapat dilihat secara lengkap di SecureList.

Ariel Jungheit, peneliti keamanan senior untuk Tim Riset dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan. serangan berantai dapat menyebabkan hasil yang menghancurkan, mempengaruhi lebih dari satu organisasi – sesuatu yang kita lihat dengan jelas dengan serangan SolarWinds tahun lalu,” kata Jungheit, mengacu pada gelombang intrusi rantai pasokan yang dikenal sebagai SolarWinds, yang dimulai oleh Nobelium APT akhir tahun lalu. year.

“Dengan aktor ancaman yang berinvestasi dalam kemampuan seperti itu, kita harus tetap waspada dan memfokuskan upaya pertahanan di depan itu,” Jungh eit hati-hati.

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: