Mempertahankan kas Pyongyang tetap penuh
Kru yang terkait dengan Korea Utara yang terkait dengan penipuan pekerja IT yang marak telah meningkatkan permainan malware mereka, menggunakan alat yang lebih canggih, termasuk backdoor yang memiliki kode yang sama dengan yang digunakan Kelompok Lazarus Pyongyang yang terkenal.…
Dalam sebuah laporan putih [PDF] yang disajikan di Virus Bulletin 2025, peneliti ESET Peter Kálnai dan Matěj Havránek mengidentifikasi hubungan baru antara malware DeceptiveDevelopment dengan RAT PostNapTea Grup Lazarus.
Pengembangan yang Menipu, sebuah kelompok yang berada di bawah naungan Korea Utara yang telah aktif sejak setidaknya 2023, tumpang tindih dengan kampanye Contagious Interview dan WageMole, serta sekelompok orang yang ditelusuri oleh CrowdStrike sebagai Famous Chollima. Anggota mereka berpura-pura sebagai perekrut, memposting profil palsu di media sosial yang mirip dengan Operasi Dream Job Lazarus, yang menipu pencari kerja untuk mengklik tautan berbahaya. Namun dalam kasus ini, para penjahat siber terutama menghubungi pengembang perangkat lunak dan biasanya mereka yang terlibat dalam proyek kripto.
DeceptiveDevelopment juga menggunakan teknik rekayasa sosial lainnya, termasuk ClickFix, yang menipu pengguna untuk mengikuti petunjuk palsu seperti CAPTCHA palsu, dan kemudian menginfeksi komputer korban dengan kode yang telah dimanipulasi selama proses wawancara palsu. Kemudian mereka mentransfer informasi, identitas, dan data lain yang dicuri selama proses ini kepada pekerja TI Korea Utara yang mencari pekerjaan di perusahaan Barat sehingga mereka dapat menggunakan jawaban wawancara untuk membantu mereka diterima bekerja. Setelah mereka bekerja di perusahaan Barat, pekerja TI tersebut mengalirkan uang gaji mereka kembali ke Pyongyang.
Dalam beberapa kasus, para penipu menggunakan akses internal mereka untuk mencuri kode sumber properti, lalu meminta tebusan kepada majikan mereka dengan ancaman akan membocorkan data perusahaan jika tidak dibayar.
Payload biasa DeceptiveDevelopment mencakup BeaverTail dan InvisibleFerret, keduanya adalah skrip yang cukup sederhana tetapi diubah agar sulit dibaca.
BeaverTail adalah infostealer dan downloader yang mengumpulkan data dari dompet kripto, rantai kunci, dan login browser yang tersimpan. "Kami telah mengamati variasi malware ini yang ditulis dalam JavaScript, disembunyikan dalam tantangan pekerjaan palsu, dan juga dalam C++ menggunakan kerangka kerja Qt, berpura-pura sebagai perangkat lunak konferensi," tulis para peneliti.
InvisibleFerret adalah malware berbasis Python dengan kemampuan pencurian informasi. Ini juga menyediakan kendali jarak jauh bagi penyerang.
Pada akhir tahun 2024, sebuah stealer yang mirip dengan BeaverTail bernama OtterCookie muncul, diduga merupakan evolusi yang digunakan oleh beberapa tim DeceptiveDevelopment.
Selain itu, menurut para peneliti, kumpulan alat ini memiliki "kemiripan yang signifikan dengan sebuah bagian malware Lazarus tertentu."
Pada awal tahun ini, para peneliti malware AhnLab mencatat bahwa BeaverTail mengunduh backdoor baru yang diberi nama Tropidoor. Setelah melakukan analisis mereka sendiri terhadap payload yang sebelumnya tidak diketahui, pasangan ESET mencatat bahwa Tropidoor memiliki sebagian besar kode yang sama dengan PostNapTea, yang digunakan oleh Lazarus dalam serangan terhadap target di Korea Selatan pada 2022.
Kode Tropidoor mendukung beberapa perintah Windows termasuk schtasks (pengatur jadwal tugas), ping (menguji apakah komputer dapat mencapai perangkat jaringan lain), reg (berinteraksi dengan Registry Windows), net (mengelola sumber daya jaringan dan akun pengguna), nslookup (mengambil informasi DNS), dan wmic process (mengambil informasi tentang proses yang berjalan pada sistem Windows).
"Tropidoor adalah payload yang paling canggih yang terkait dengan kelompok DeceptiveDevelopment hingga saat ini, kemungkinan karena didasarkan pada malware yang dikembangkan oleh aktor ancaman yang lebih canggih di bawah payung Lazarus," tulis Kálnai dan Havránek.
Selain itu, pada November 2024, DeceptiveDevelopment mulai menggunakan versi baru InvisibleFerret yang memiliki modul pencuri data browser yang dimodifikasi. Modul ini mengandung toolkit baru yang disebut TsunamiKit oleh ESET, berdasarkan penggunaan "Tsunami" dalam nama semua komponennya. Ini juga dirancang untuk mencuri informasi dan kripto mata uang, dan rantai eksekusinya mencakup beberapa tahap dropper dan installer yang ditulis dalam Python dan .NET, serta proxy jaringan Tor, coinminers, dan payload spyware .NET akhir.
Setelah peneliti mengirimkan makalah mereka ke konferensi Virus Bulletin, mereka menemukan sampel TsunamiKit yang diunggah ke VirusTotal sejak Desember 2021, menunjukkan bahwa alat tersebut telah ada sejak setidaknya saat itu, menurut sebuah blog berikutnya.
"Kami menyimpulkan bahwa TsunamiKit kemungkinan merupakan modifikasi dari proyek dark web daripada sebuah pembuatan baru oleh pelaku serangan, berdasarkan fakta bahwa TsunamiKit secara umum sudah ada sebelum perkiraan awal aktivitas DeceptiveDevelopment pada 2023, payload TsunamiKit yang serupa tanpa tanda-tanda apapun dari BeaverTail telah diamati dalam telemetry ESET, dan penambangan kripto merupakan fitur inti dari TsunamiKit," tulis dua peneliti tersebut dalam sebuah postingan hari Kamis.
Baik di blog maupun makalah Virus Bulletin, para analis malware mencatat semakin "kaburnya batas antara aktivitas APT yang ditargetkan dan kejahatan siber, khususnya dalam tumpang tindih kampanye malware oleh DeceptiveDevelopment dan operasi pekerja IT asal Korea Utara."
Sementara taktik dual-use Korea Utara biasanya menggabungkan pencurian siber dan spionase siber dengan skema penipuan di luar ruang siber, agen-agen yang didukung pemerintah dari Rusia, Tiongkok, dan Iran juga mulai beralih ke bisnis ransomware.
Dan seluruh hal ini, seperti yang ditunjukkan Kálnai dan Havránek, menegaskan "kebutuhan bagi para pembela untuk mempertimbangkan ekosistem ancaman yang lebih luas daripada kampanye-kampanye terisolasi." ®
Komentar
Tuliskan Komentar Anda!