New Kimsuky Module Makes North Korean Spyware More Powerful
Seminggu setelah pemerintah AS mengeluarkan peringatan tentang "misi pengumpulan intelijen global" yang dioperasikan oleh peretas yang disponsori negara Korea Utara, temuan baru telah muncul tentang kemampuan spyware kelompok ancaman itu.
APT - dijuluki "Kimsuky" (alias Black Banshee atau Talium) dan diyakini aktif pada awal 2012 - sekarang telah dikaitkan dengan sebanyak tiga malware yang sampai sekarang tidak berdokumen, termasuk pencuri informasi, alat yang dilengkapi dengan anti-analisis malware fitur, dan infrastruktur server baru dengan tumpang tindih yang signifikan dengan kerangka spionase yang lebih lama.
"Grup ini memiliki sejarah operasi cyber ofensif yang kaya dan terkenal di seluruh dunia, termasuk operasi yang menargetkan think tank Korea Selatan, tetapi selama beberapa tahun terakhir mereka telah memperluas penargetan ke negara-negara termasuk Amerika Serikat, Rusia, dan berbagai negara di Eropa, "Peneliti Cybereason mengatakan dalam sebuah analisis kemarin.
Pekan lalu, FBI dan departemen Pertahanan dan Keamanan Dalam Negeri bersama-sama merilis sebuah memo yang merinci taktik, teknik, dan prosedur (TTP) Kimsuky.
Memanfaatkan trik spear-phishing dan rekayasa sosial untuk mendapatkan akses awal ke jaringan korban, APT telah dikenal secara khusus menargetkan individu yang diidentifikasi sebagai ahli di berbagai bidang, lembaga pemikir, industri cryptocurrency, dan entitas pemerintah Korea Selatan, selain berpose sebagai jurnalis dari Korea Selatan untuk mengirim email yang disematkan dengan malware BabyShark.
Dalam beberapa bulan terakhir, Kimsuky telah dikaitkan dengan sejumlah kampanye menggunakan umpan email bertema coronavirus yang berisi dokumen Word yang dipersenjatai sebagai vektor infeksi mereka untuk mendapatkan pijakan pada mesin korban dan meluncurkan serangan malware.
"Kimsuky memfokuskan kegiatan pengumpulan intelijennya pada kebijakan luar negeri dan masalah keamanan nasional yang terkait dengan semenanjung Korea, kebijakan nuklir, dan sanksi," kata Badan Keamanan Siber dan Infrastruktur (CISA).
Sekarang menurut Cybereason, pelaku ancaman telah memperoleh kemampuan baru melalui paket spyware modular yang disebut "KGH_SPY," yang memungkinkannya untuk melakukan pengintaian jaringan target, menangkap penekanan tombol, dan mencuri informasi sensitif.
Selain itu, pintu belakang KGH_SPY dapat mengunduh muatan sekunder dari server perintah-dan-kontrol (C2), menjalankan perintah sewenang-wenang melalui cmd.exe atau PowerShell, dan bahkan mengambil kredensial dari browser web, Manajer Kredensial Windows, WINSCP, dan klien email.
Yang juga perlu diperhatikan adalah penemuan malware baru bernama "CSPY Downloader" yang dirancang untuk menggagalkan analisis dan mengunduh muatan tambahan.
Terakhir, peneliti Cybereason menemukan infrastruktur perangkat baru yang terdaftar antara 2019-2020 yang tumpang tindih dengan malware grup BabyShark yang sebelumnya menargetkan lembaga think tank yang berbasis di AS.
"Pelaku ancaman menginvestasikan upaya untuk tetap berada di bawah radar, dengan menggunakan berbagai teknik anti-forensik dan anti-analisis yang mencakup pembuatan ulang / waktu kompilasi sampel malware hingga 2016, kebingungan kode, anti-VM dan anti-debugging teknik, "kata para peneliti.
"Meskipun identitas para korban kampanye ini masih belum jelas, ada petunjuk yang dapat menunjukkan bahwa infrastruktur menargetkan organisasi yang menangani pelanggaran hak asasi manusia."
Source : https://thehackernews.com/2020/11/new-kimsuky-module-makes-north-korean.html
Keyoword Search
Malware
Hacker
Hacking
Ransomware
Botnet
Hacker News