Taktik APT Kimsuky Terus Meningkat dengan Lebih Banyak Tagert, Entitas di Asia Pasifik Harus Lebih Waspada

JAKARTA - Sudah hampir 10 tahun sejak para ahli Kaspersky membuka kedok kampanye spionase siber aktif yang secara khusus menargetkan Think-Tank Korea Selatan. Kelompok yang dijuluki sebagai "Kimsuky" itu terus menunjukkan pembaruan alat dan taktik yang produktif untuk menargetkan entitas terkait Korea Utara.   

Pakar senior Kaspersky mengungkapkan lebih banyak temuannya, termasuk kemungkinan aktor ancaman Advanced Persistent Threat (APT) ini dalam memperluas operasinya dengan kemampuannya yang melimpah.

Seongsu Park, Peneliti Keamanan Utama untuk Global Research and Analysis Team (GReAT) di Kaspersky, menemukan bahwa kelompok terkenal itu terus-menerus mengonfigurasi server komando dan kontrol multi-tahap (C2) dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.

Server perintah dan kontrol (command and control) adalah server yang membantu aktor ancaman mengendalikan malware mereka dan mengirim perintah berbahaya ke anggotanya, mengatur spyware, mengirim muatan, dan banyak lagi.

Park mengatakan, pada tahun 2019 terdapat kurang dari 100 server C2, dan pada Juli tahun ini, Kimsuky telah memiliki 603 pusat komando berbahaya dengan lebih banyak serangan yang mungkin menjangkau hingga luar semenanjung Korea.

"Sejarahnya menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis cryptocurrency di Asia Pasifik harus waspada terhadap ancaman tersembunyi ini," kata Park.

Jumlah server C2 yang meroket adalah bagian dari operasi berkelanjutan Kimsuky di Asia Pasifik dan sekitarnya. Pada awal 2022, tim ahli Kaspersky mengamati gelombang serangan lain yang menargetkan jurnalis dan entitas diplomatik dan akademik di Korea Selatan.

Serangan tersebut dijuluki sebagai cluster "GoldDragon", aktor ancaman memulai rantai infeksi dengan mengirimkan email spearphishing yang berisi dokumen Word tertanam makro. 

Dengan analisis lebih lanjut, Park menemukan skrip sisi server yang terkait dengan cluster GoldDragon, yang memungkinkan para ahli untuk memetakan operasi C2 grup.

1. Pelaku mengirimkan email spear-phishing kepada calon korban untuk mengunduh dokumen tambahan.
2. Jika korban mengklik tautan tersebut, maka akan terjadi koneksi ke server C2 tahap pertama, dengan alamat email sebagai parameter.
3. Server C2 tahap pertama memverifikasi parameter alamat email yang masuk adalah yang diharapkan dan mengirimkan dokumen berbahaya jika ada di dalam daftar target. Skrip tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya.
4. Saat dokumen yang diambil dibuka, dokumen tersebut terhubung ke server C2 kedua.
5. Skrip yang sesuai pada server C2 kedua memeriksa alamat IP yang diteruskan dari server tahap pertama untuk memeriksa apakah itu permintaan yang diharapkan dari korban yang sama. Menggunakan skema validasi IP ini, aktor memverifikasi apakah permintaan yang masuk berasal dari korban atau tidak.
6. Selain itu, operator bergantung pada beberapa proses lain untuk mengirimkan muatan berikutnya dengan hati-hati seperti memeriksa jenis OS dan string agen pengguna yang telah ditentukan sebelumnya.

Teknik penting lainnya yang digunakan Kimsuky adalah penggunaan proses verifikasi klien untuk mengonfirmasi bahwa korban relevan yang ingin mereka targetkan. 

“Kami telah melihat bahwa kelompok Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis. Kesulitan dalam melacak kelompok ini adalah sulitnya memperoleh rantai infeksi penuh,” tambah Park.

Seperti yang dapat kita lihat dari penelitian, baru-baru ini, aktor ancaman mengadopsi metodologi verifikasi korban di server komando dan kontrol mereka. Terlepas dari kesulitan mendapatkan objek sisi server, Park percaya bahwa jika mereka menganalisis server penyerang dan malware dari sisi korban, ia dapat sepenuhnya memahami bagaimana pelaku ancaman mengoperasikan infrastruktur mereka dan jenis teknik yang digunakan.