Lazarus Korea Utara Mata-matai Perusahaan di Sektor Kimia

Internet Sehat : Geng kejahatan dunia maya Lazarus Korea Utara saat ini membobol jaringan perusahaan sektor kimia untuk memata-matai merek. Hal ini diungkpakan tim intel ancaman Symantec.

Sementara pencurian mata uang kripto oleh kru Korea baru-baru ini dan sangat menguntungkan dan telah menjadi berita utama, kelompok tersebut masih terus memata-matai. Bukti baru telah ditemukan menghubungkan kampanye spionase baru-baru ini terhadap target Korea Selatan untuk mengajukan hash, nama file, dan alat yang sebelumnya digunakan oleh Lazarus, menurut Symantec.

Symantec mengatakan operasi mata-mata kemungkinan merupakan kelanjutan dari Operation Dream Job yang disponsori negara yang dimulai kembali pada Agustus 2020. Skema ini melibatkan penggunaan tawaran pekerjaan palsu untuk mengelabui pencari kerja agar mengklik tautan atau membuka lampiran berbahaya yang kemudian mengizinkan para penjahat untuk memasang spyware di komputer korban.

Peneliti keamanan ClearSky dan AT&T mendokumentasikan kampanye Dream Job yang menargetkan organisasi pertahanan, pemerintah, dan teknik pada tahun 2020 dan 2021. Awal tahun ini, peneliti keamanan Qualys mendokumentasikan penipuan serupa yang menargetkan pelamar kerja Lockheed Martin.

Tim pemburu ancaman Symantec mengatakan fokus terbaru Lazarus pada perusahaan kimia dimulai pada Januari, ketika perusahaan keamanan mendeteksi aktivitas jaringan di sejumlah organisasi yang berbasis di Korea Selatan. Dalam kasus ini, serangan biasanya dimulai dengan korban menerima file HTML berbahaya, yang entah bagaimana disalin ke file DLL bernama scskapplink.dll yang digunakan untuk menyusup ke aplikasi pada sistem.

Kode berbahaya yang disuntikkan mengunduh dan menjalankan muatan pintu belakang dari server perintah dan kontrol yang menurut Symantec menggunakan kunci/nilai parameter URL prd_fld=racket. Pada titik ini, malware berulang kali terhubung ke server C2 untuk mengeksekusi shellcode dan mengunduh malware tambahan untuk dijalankan.

Selain itu, para penjahat menggunakan Windows Management Instrumentation (WMI) untuk bergerak secara lateral melintasi jaringan dan menyuntikkan ke dalam aplikasi MagicLine oleh DreamSecurity di komputer lain.

Sumber : The Register