ESET Research: Lazarus Serang Kontraktor Pertahanan dan Kedirgantaraan Seluruh Dunia, Sambil Salahgunakan LinkedIn dan WhatsApp

JurnalPatroliNews – Bratislava,- Selama konferensi tahunan ESET World 2022, para peneliti ESET telah mempresentasikan tentang penyelidikan baru terhadap grup APT terkenal, Lazarus. Direktur ESET Threat Research, Jean-Ian Boutin, membahas berbagai kampanye baru yang dilakukan oleh kelompok Lazarus terhadap kontraktor pertahanan di seluruh dunia antara akhir 2021 dan Maret 2022.

Dalam serangan 2021-2022 menurut telemetri ESET, Lazarus telah menargetkan perusahaan di Eropa (Prancis, Italia, Jerman, Belanda, Polandia, dan Ukraina) dan Amerika Latin (Brasil).

Meskipun tujuan utama dari operasi Lazarus ini adalah spionase dunia maya, kelompok tersebut juga telah berupaya untuk menarik uang namun tidak berhasil.

 “Kelompok ancaman Lazarus menunjukkan kemampuan mereka dengan menerapkan perangkat mutakhir, termasuk, contohnya, komponen mode pengguna yang dapat mengeksploitasi driver Dell yang rentan untuk menulis ke memori kernel. Trik canggih ini digunakan dalam upaya untuk melewati pemantauan solusi keamanan,” kata Jean-Ian Boutin.

Pada awal tahun 2020, peneliti ESET telah mendokumentasikan kampanye yang dilakukan oleh sub-kelompok Lazarus melawan Kontraktor Pertahanan dan Kedirgantaraan Eropa yang disebut sebagai operasi In(ter)ception. Operasi ini patut diperhatikan karena menggunakan media sosial, terutama LinkedIn untuk membangun kepercayaan antara peretas dan karyawan yang tidak curiga sebelum mengirimi mereka komponen berbahaya yang menyamar sebagai deskripsi pekerjaan atau aplikasi. Saat itu, perusahaan di Brasil, Republik Ceko, Qatar, Turki, dan Ukraina sudah menjadi sasaran.

Peneliti ESET percaya bahwa tindakan serangan sebagian besar diarahkan kepada perusahaan- perusahaan Eropa, tetapi melalui pelacakan sejumlah sub-kelompok Lazarus yang melakukan operasi serupa melawan kontraktor pertahanan, mereka segera menyadari bahwa kampanye itu menyebar jauh lebih luas. Meskipun malware yang digunakan dalam berbagai kampanye berbeda, modus operandi (MO) awal selalu tetap sama: perekrut palsu menghubungi seorang karyawan melalui LinkedIn dan akhirnya mengirim komponen jahat.

Mereka melanjutkan dengan MO seperti di masa lalu. Namun, peneliti ESET juga telah mendokumentasikan penggunaan kembali elemen kampanye perekrutan yang sah untuk menambahkan legitimasi pada kampanye perekrut palsu mereka. Selain itu, pelaku telah menggunakan layanan seperti WhatsApp atau Slack dalam kampanye jahat mereka.

Pada tahun 2021, Departemen Kehakiman Amerika Serikat mendakwa tiga programmer TI atas serangan siber saat mereka bekerja untuk militer Korea Utara. Menurut pemerintah AS, mereka milik unit peretas militer Korea Utara yang dikenal di komunitas infosec sebagai Grup Lazarus.

Komentar