Bagikan:

JAKARTA - Grup Analisis Ancaman (TAG) Google baru saja mengumumkan bahwa mereka telah menemukan dua kelompok peretas asal Korea Utara dengan nama Operation Dream Job dan Operation Apple Jeus pada Februari lalu.

Kedua kelompok peretas itu diklaim memanfaatkan eksploitasi eksekusi kode jarak jauh (REC) di browser web Chrome. Target utamanya adalah media online, IT, cryptocurrency, dan outlet fintech yang berbasis di Amerika Serikat (AS).

Tetapi, Google berhasil menambal kerentanan pada 14 Februari. Mengingat fakta bahwa semua penyerang menggunakan kit eksploit yang sama, TAG berteori bahwa mereka semua mungkin berbagi rantai pasokan malware yang sama dan kemungkinan pelaku ancaman lain dari Korea Utara memiliki akses ke alat bersama juga.

"Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama," ujar Google.

Melansir Engadget, Jumat, 25 Maret, Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Indeed atau ZipRecruiter.

Sementara Operasi Apple Jeus, di sisi lain menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama. Upaya itu melibatkan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung.

Para penyerang juga menggunakan beberapa metode canggih untuk menyembunyikan aktivitas mereka. Ini termasuk membuka iframe hanya dalam slot waktu di mana mereka mengharapkan target untuk mengunjungi situs web, URL unik di tautan untuk implementasi klik satu kali, enkripsi berbasis AES dalam langkah eksploitasi, dan atomitas jalur eksploitasi.

"Dalam kasus lain, kami mengamati situs web palsu, sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit," jelas Google.

Dijelaskan Google, kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target.

"Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll, lalu mengirimkannya kembali ke server eksploitasi. Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript," tutur Google.

"Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai SBX, akronim umum untuk Sandbox Escape," imbuhnya.

Google berharap dengan membagikan detail ini, dapat mendorong pengguna untuk memperbarui browser mereka agar menerima pembaruan keamanan terbaru dan mengaktifkan Enhanced Safe Browsing di Chrome.