Bagikan:

JAKARTA - Grup peretas Korea Utara, Lazarus Group, telah menggunakan jenis malware baru yang "sophisticated" sebagai bagian dari penipuan kerja palsu mereka. Hal ini diingatkan oleh para peneliti karena jauh lebih sulit dideteksi dibandingkan dengan pendahulunya.

Menurut pos dari Peneliti Malware Senior ESET, Peter Kálnai, pada 29 September, saat menganalisis serangan pekerjaan palsu terbaru terhadap perusahaan kedirgantaraan berbasis Spanyol, peneliti ESET menemukan backdoor yang belum pernah didokumentasikan secara publik bernama LightlessCan.

Penipuan pekerjaan palsu oleh Lazarus Group biasanya melibatkan penipuan korban dengan tawaran potensial pekerjaan di perusahaan terkenal. Para penyerang akan membujuk korban untuk mengunduh muatan berbahaya yang menyamar sebagai dokumen untuk melakukan kerusakan yang beragam.

Namun, Kálnai mengatakan bahwa muatan LightlessCan yang baru adalah "kemajuan signifikan" dibandingkan dengan pendahulunya, BlindingCan.

"LightlessCan meniru fungsionalitas berbagai perintah Windows asli, memungkinkan pelaksanaan yang rahasia dalam RAT itu sendiri daripada pelaksanaan konsol yang bising," kata Kálnai.

"Pendekatan ini menawarkan keuntungan yang signifikan dalam hal ketidakdeteksian, baik dalam menghindari solusi pemantauan waktu nyata seperti EDR, maupun alat forensik digital pasca-mortem," tambahnya.

Muatan baru ini juga menggunakan apa yang disebut peneliti sebagai "pelindung pelaksanaan," memastikan bahwa muatan hanya dapat didekripsi pada mesin korban yang dituju, sehingga menghindari dekripsi yang tidak disengaja oleh peneliti keamanan.

Kálnai mengatakan satu kasus yang melibatkan malware baru ini berasal dari serangan terhadap perusahaan kedirgantaraan berbasis Spanyol ketika seorang karyawan menerima pesan dari rekruiter palsu Meta bernama Steve Dawson pada tahun 2022.

"Sebagai tambahan, Motivasi utama di balik serangan Lazarus Group terhadap perusahaan kedirgantaraan berbasis Spanyol adalah cyberespionase," kata Kálnai.

Sejak 2016, para peretas Korea Utara telah mencuri dana senilai sekitar 3,5 miliar dolar AS dari proyek-proyek kripto, menurut laporan perusahaan forensik blockchain Chainalysis pada 14 September.

Pada September 2022, perusahaan keamanan siber SentinelOne memperingatkan tentang penipuan pekerjaan palsu di LinkedIn, menawarkan calon korban pekerjaan di Crypto.com sebagai bagian dari kampanye yang diberi nama "Operasi Dream Job."

Sementara itu, Perserikatan Bangsa-Bangsa telah berupaya untuk membatasi taktik kejahatan siber Korea Utara pada tingkat internasional, karena dipahami bahwa Korea Utara menggunakan dana yang dicuri untuk mendukung program rudal nuklirnya.