- Kelompok peretas Lazarus dari Korea Utara menggunakan aplikasi konferensi video palsu untuk menyusupkan malware ke sistem pengembang dan mencuri informasi sensitif.
- Mereka memanfaatkan wawancara kerja palsu dan platform pencarian kerja untuk menargetkan pencari kerja yang tidak curiga dan mengunduh malware berbahaya.
- Penting untuk meningkatkan kesadaran keamanan siber dan mengambil tindakan pencegahan untuk melindungi diri dari serangan ini.
pibitek.biz -Pelaku ancaman siber asal Korea Utara memanfaatkan aplikasi konferensi video Windows palsu yang meniru FreeConference.com untuk menyusupkan malware ke sistem pengembang sebagai bagian dari kampanye bermotif finansial yang sedang berlangsung, yang diberi nama Contagious Interview. Gelombang serangan terbaru ini, yang dideteksi oleh perusahaan asal Singapura, Group-IB pada pertengahan Agustus 2024, menunjukkan bahwa aktivitas ini juga menggunakan program instalasi asli untuk Windows dan Apple macOS guna mendistribusikan malware. Contagious Interview, yang juga dikenal sebagai DEV#POPPER, merupakan kampanye jahat yang digerakkan oleh aktor ancaman asal Korea Utara yang dilacak oleh CrowdStrike dengan sebutan Famous Chollima.
2 – Ransomware dan Tantangan Pembayaran Tebusan 2 – Ransomware dan Tantangan Pembayaran Tebusan
3 – Google Kerjasama dengan Reaktor Nuklir untuk AI 3 – Google Kerjasama dengan Reaktor Nuklir untuk AI
Rangkaian serangan ini dimulai dengan wawancara kerja palsu yang dirancang untuk menjebak pencari kerja agar mengunduh dan menjalankan proyek Node. js yang berisi malware BeaverTail downloader. Malware ini kemudian mendistribusikan InvisibleFerret, backdoor Python lintas platform yang dilengkapi dengan kemampuan kontrol jarak jauh, perekam ketukan tombol (keylogging), dan pencurian data peramban. Beberapa varian BeaverTail, yang juga berfungsi sebagai pencuri informasi, muncul dalam bentuk malware JavaScript yang biasanya disebarkan melalui paket npm palsu sebagai bagian dari penilaian teknis selama proses wawancara.
Namun, pada Juli 2024, penginstal Windows MSI dan file citra disk Apple macOS (DMG) yang menyamar sebagai software konferensi video MiroTalk ditemukan di internet, berfungsi sebagai perantara untuk menyebarkan versi BeaverTail yang diperbarui. Temuan terbaru dari Group-IB, yang telah mengaitkan kampanye ini dengan Lazarus Group yang terkenal, menunjukkan bahwa aktor ancaman terus mengandalkan mekanisme distribusi spesifik ini. Perbedaannya hanya terletak pada penginstal ("FCCCall. msi") yang meniru FreeConference.com, bukan MiroTalk.
Diperkirakan penginstal palsu ini diunduh dari situs web bernama freeconference[. ]io, yang menggunakan registrar yang sama dengan situs web mirotalk[. ]net yang fiktif. "Selain LinkedIn, Lazarus juga secara aktif mencari calon korban di platform pencarian kerja lainnya seperti WWR, Moonlight, Upwork, dan lainnya", kata peneliti keamanan Sharmine Low. "Setelah melakukan kontak awal, mereka sering kali mencoba memindahkan percakapan ke Telegram, tempat mereka kemudian meminta calon pewawancara untuk mengunduh aplikasi konferensi video atau proyek Node.
js untuk melakukan tugas teknis sebagai bagian dari proses wawancara". Sebagai pertanda bahwa kampanye ini sedang dalam proses penyempurnaan aktif, aktor ancaman telah terlihat menyuntikkan JavaScript jahat ke dalam repositori terkait mata uang kripto dan game. Kode JavaScript, pada bagiannya, dirancang untuk mengambil kode JavaScript BeaverTail dari domain ipcheck[. ]cloud atau regioncheck[. ]net. Perlu disebutkan bahwa perilaku ini juga baru-baru ini disorot oleh perusahaan keamanan rantai pasokan software Phylum terkait dengan paket npm bernama helmet-validate, menunjukkan bahwa aktor ancaman secara bersamaan memanfaatkan berbagai vektor penyebaran.
Perubahan menonjol lainnya adalah BeaverTail sekarang dikonfigurasikan untuk mengekstrak data dari lebih banyak ekstensi dompet mata uang kripto seperti Kaikas, Rabby, Argent X, dan Exodus Web3, di samping menerapkan fungsionalitas untuk membangun ketahanan menggunakan AnyDesk. Tidak hanya itu, kemampuan pencurian informasi BeaverTail sekarang diwujudkan melalui serangkaian skrip Python yang disebut CivetQ. Skrip ini mampu memanen cookie, data peramban web, ketukan tombol, dan konten clipboard, serta mengirimkan lebih banyak skrip.
Sebanyak 74 ekstensi peramban menjadi target malware ini. "Malware ini dapat mencuri data dari Microsoft Sticky Notes dengan menargetkan file database SQLite aplikasi yang terletak di `%LocalAppData%PackagesMicrosoft. MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum. sqlite,` tempat catatan pengguna disimpan dalam format yang tidak terenkripsi", kata Low. "Dengan melakukan kueri dan mengekstrak data dari database ini, malware dapat mengambil dan mengeluarkan informasi sensitif dari aplikasi Sticky Notes korban".
Munculnya CivetQ menunjukkan pendekatan yang termodulasi, sekaligus menggarisbawahi bahwa tools tersebut sedang dalam pengembangan aktif dan terus berkembang secara bertahap selama beberapa bulan terakhir. "Lazarus telah memperbarui taktik mereka, meningkatkan tools mereka, dan menemukan cara yang lebih baik untuk menyembunyikan aktivitas mereka", kata Low. "Mereka tidak menunjukkan tanda-tanda meringankan upaya mereka, dengan kampanye mereka yang menargetkan pencari kerja diperpanjang hingga tahun 2024 dan hingga saat ini.
Serangan mereka menjadi semakin kreatif, dan mereka sekarang memperluas jangkauan mereka ke lebih banyak platform". Pengumuman ini muncul ketika Biro Investigasi Federal Amerika Serikat (FBI) memperingatkan tentang penargetan agresif aktor siber Korea Utara terhadap industri mata uang kripto menggunakan serangan rekayasa sosial yang "terselubung baik" untuk memfasilitasi pencurian mata uang kripto. "Skema rekayasa sosial Korea Utara sangat kompleks dan rumit, sering kali membahayakan korban dengan keahlian teknis yang canggih", kata FBI dalam sebuah advisory yang dirilis pada hari Selasa, menyatakan bahwa aktor ancaman mencari calon korban dengan meninjau aktivitas media sosial mereka di platform jaringan profesional atau terkait pekerjaan.
"Tim aktor siber jahat Korea Utara mengidentifikasi bisnis DeFi atau terkait mata uang kripto tertentu untuk ditargetkan dan mencoba melakukan rekayasa sosial terhadap puluhan karyawan perusahaan ini untuk mendapatkan akses yang tidak sah ke jaringan perusahaan". Pelaku ancaman, yang beroperasi di bawah perlindungan negara, menggunakan berbagai taktik yang halus dan terencana untuk menargetkan individu yang tidak curiga di berbagai platform online. Mereka memanfaatkan wawancara kerja palsu, menjanjikan pekerjaan yang menguntungkan dalam industri teknologi, dan secara khusus, memanfaatkan sektor cryptocurrency yang berkembang pesat.
Melalui penciptaan persona palsu dan penggunaan platform media sosial untuk membangun kepercayaan, mereka berhasil memikat para korban untuk menyerahkan informasi sensitif dan mengunduh malware berbahaya yang memungkinkan mereka untuk mengakses sistem korban. Strategi mereka yang rumit dan agresif menimbulkan ancaman nyata bagi individu dan organisasi di seluruh dunia, menyoroti perlunya meningkatkan kesadaran dan tindakan pencegahan keamanan. Dengan menggunakan teknik manipulasi yang canggih, aktor ancaman ini mampu memanipulasi psikologi korban untuk memanfaatkan kerentanan mereka, mencuri data yang berharga, dan memperoleh keuntungan finansial yang besar.
Dalam dunia siber yang terus berkembang, kelompok peretas yang didukung negara seperti Lazarus telah menjadi ancaman yang mengkhawatirkan, melepaskan operasi yang rumit untuk mendapatkan akses ke sistem komputer, mencuri informasi rahasia, dan mengganggu operasi penting. Penargetan pencari kerja merupakan taktik baru yang digunakan oleh Lazarus, yang menunjukkan bahwa mereka secara aktif mencari cara baru untuk mengelabui korban yang tidak curiga. Strategi mereka yang berpusat pada pencari kerja menawarkan kesempatan yang menarik bagi Lazarus untuk menjangkau berbagai macam orang, dengan keterampilan teknologi yang berbeda-beda.
Dengan mengeksploitasi keinginan untuk mendapatkan pekerjaan dan memanfaatkan platform pencarian kerja yang populer, mereka mampu menyebarkan malware yang berbahaya dan menyusup ke sistem korban. Serangan ini, yang dijalankan dengan ahli, mengindikasikan bahwa Lazarus telah menguasai seni rekayasa sosial, menciptakan wawancara kerja palsu yang tampak realistis dengan permintaan teknis yang meyakinkan. Dengan memanfaatkan kepercayaan dan keinginan untuk mendapatkan pekerjaan, mereka berhasil membuat korban mengunduh dan menjalankan malware, memberikan mereka akses ke data dan sumber daya yang berharga.
Tindakan jahat yang dilakukan oleh Lazarus secara terbuka menunjukkan kurangnya moral dan kesiapan mereka untuk mengeksploitasi individu yang tidak curiga demi keuntungan finansial. Serangan ini tidak hanya menargetkan data pribadi tetapi juga mengancam stabilitas ekonomi dan keamanan global. Penting untuk diakui bahwa serangan ini merupakan bukti kesigapan dan kecerdasan yang dimiliki Lazarus dalam mengadaptasi strategi mereka. Mereka menunjukkan kemampuan untuk memanfaatkan tren teknologi yang sedang berkembang, seperti penggunaan platform konferensi video dan aplikasi pencarian pekerjaan, untuk mencapai tujuan jahat mereka.
Penggunaan metode yang halus dan terencana menyoroti pentingnya meningkatkan kesadaran keamanan siber di semua tingkat, baik untuk individu maupun organisasi. Meskipun kelompok peretas yang didukung negara seperti Lazarus menunjukkan tingkat kecanggihan yang mengkhawatirkan, penting untuk dicatat bahwa ada langkah-langkah proaktif yang dapat diambil untuk mengurangi risiko serangan ini. Langkah-langkah pencegahan ini meliputi meningkatkan kesadaran akan tanda-tanda serangan rekayasa sosial, secara ketat memverifikasi identitas dan kredibilitas pihak yang menghubungi kamu melalui platform pencarian kerja, serta menerapkan kebijakan keamanan yang kuat untuk melindungi sistem komputer dan informasi sensitif kamu.
Melihat upaya jahat Lazarus yang sedang berlangsung, sangat penting untuk tetap waspada terhadap taktik mereka yang berkembang dan mengambil tindakan pencegahan yang diperlukan untuk menjaga keamanan online kita. Serangan yang dilakukan oleh Lazarus menonjolkan perlunya tindakan kolektif untuk melawan kejahatan dunia maya yang berkembang. Kerjasama internasional, pertukaran informasi, dan pengembangan teknologi keamanan canggih sangat penting untuk menghentikan aktivitas jahat ini dan melindungi warga dunia dari ancaman siber yang semakin meningkat.
Penting untuk diingat bahwa individu, organisasi, dan pemerintah harus bersatu dalam menghadapi ancaman ini, meningkatkan upaya pencegahan, dan bekerja sama untuk menciptakan lingkungan siber yang lebih aman untuk semua orang. Perilaku Lazarus yang tidak beretika dan kejam dalam menargetkan pencari kerja yang tidak curiga untuk keuntungan finansial mereka sendiri patut dikutuk keras. Serangan ini menunjukkan tingkat kebiadaban yang luar biasa, mengeksploitasi harapan dan mimpi individu yang rapuh demi keuntungan pribadi.
Ini adalah contoh nyata dari kurangnya moral dan kurangnya empati dari para pelaku, menunjukkan bahwa mereka akan melakukan apa saja untuk mencapai tujuan jahat mereka, tanpa peduli dengan dampak mengerikan yang ditimbulkannya terhadap kehidupan individu. Serangan ini bukan hanya pelanggaran privasi tetapi juga merupakan serangan terhadap martabat dan martabat manusia. Tindakan mereka ini menunjukkan bahwa mereka bukan hanya ancaman terhadap keamanan siber tetapi juga bahaya nyata bagi seluruh dunia.
Serangan yang dilakukan oleh Lazarus menunjukkan ancaman yang berkembang yang dihadapi oleh pencari kerja dan perusahaan di seluruh dunia. Penting untuk mengambil tindakan pencegahan untuk melindungi diri dari serangan ini. Perusahaan harus meningkatkan kesadaran keamanan di antara karyawan dan menerapkan langkah-langkah keamanan yang tepat untuk melindungi sistem mereka. Pencari kerja harus berhati-hati dengan permintaan kerja yang mencurigakan dan menghindari mengunduh software dari sumber yang tidak tepercaya. Dengan tetap waspada dan mengambil langkah-langkah yang tepat, kita dapat membantu mengurangi risiko serangan yang diarahkan pada pencari kerja dan menjaga keamanan informasi kita.
