Hacker Korea Utara Manfaatkan Celah Zero-Day di Internet Explorer untuk Serang Peneliti Keamanan
Ilustrasi Internet Explorer
Cyberthreat.id - Sebuah celah keamanan yang telah dlaporkan namun belum ditambal (zero-day) di peramban Internet Explorer bikinan Microsoft telah dimanfaatkan oleh kelompok peretas Lazarus yang didukung negara Korea Utara untuk menyerang peneliti keamanan siber.
Bulan lalu, Google mengungkapkan bahwa kelompok yang sama sedang melakukan serangan rekayasa sosial terhadap peneliti keamanan. Mereka membuat sejumlah akun palsu di media sosial, lalu berpura-pura menawarkan kerja sama dengan para peneliti. Ujung-ujungnya, mereka mengirimkan malware kepada para peneliti yang disisipkan dalam proposal penawaran kerja sama yang dikirim lewat email.
Laporan terbaru dari Bleeping Computer menyebutkan, firma keamanan siber Korea Selatan ENKI telah mendeteksi Lazarus menargetkan peneliti keamanan di tim mereka dengan file MHTML.
Meskipun serangan ini dinilai gagal, analisis ENKI menemukan muatan yang diunduh oleh file MHT berisi eksploitasi untuk kerentanan zero-day Internet Explorer. File MHT/MHTML, atau dikenal sebagai MIME HTML, merupakan format file khusus yang digunakan oleh Internet Explorer untuk menyimpan halaman web dan sumber dayanya dalam satu file arsip.
Menurut ENKI, file MHT yang dikirim ke peneliti ENKI berisi apa yang diduga eksploitasi Chrome 85 RCE dan diberi nama 'Chrome_85_RCE_Full_Exploit_Code.mht.’. Saat file MHT / MHTML dibuka, Internet Explorer secara otomatis diluncurkan dan menampilkan konten file MHT. Jika eksekusi skrip diizinkan, javascript berbahaya akan mengunduh dua muatan.
Eksploitasi ini memanfaatkan dua bug di Internet Explorer 11, yang memungkinkan penyerang mengunggah daftar proses yang sedang berjalan, tangkapan layar, dan informasi jaringan ke server perintah dan kontrol mereka (C2). Ini kemudian akan mengunduh dan mengeksekusi kode berbahaya tambahan dari server C2 untuk dieksekusi.
“Kami telah melaporkan bug tersebut ke Microsoft dan kemudian dihubungi oleh karyawan Microsoft yang meminta informasi lebih lanjut,” ungkap ENKI.
Terkait hal ini, Microsoft mengaku bahwa mereka telah melacak serangan itu dan telah melihat Lazarus mengirim file MHTML ke peneliti yang berisi javascript berbahaya. Pada saat penyelidikan mereka, server perintah dan kontrol tidak berfungsi, dan Microsoft tidak dapat menyelidikinya lebih lanjut. Microsoft berjanji akan memberikan informasi lebih lanjut terkait insiden ini.
“Microsoft berkomitmen untuk menyelidiki masalah keamanan yang dilaporkan dan kami akan memberikan pembaruan untuk perangkat yang terkena dampak secepat mungkin,” ungkap Juru Bicara Microsoft.
Sebelumnya, Google Threat Analysis Group (TAG) mengungkapkan bahwa APT Korea Utara menargetkan para peneliti keamanan siber melalui media sosial. APT Korea Utara membuat banyak profil di berbagai jejaring sosial seperti Twitter, LinkedIn, Telegram, Discord, Keybase dan juga Email dalam beberapa kasus tertentu. Mereka menggunakan akun palsu ini untuk mendekati dan menjebak para peneliti keamanan siber dengan berpura-pura menawarkan kerja sama.
Menurut Google TAG, alasan di balik penargetan peneliti keamanan oleh APT Korea Utara adalah karena memungkinkan mereka mencuri data-data kerentanan yang pernah ditemukan oleh si peneliti. Bagi penyerang, data kerentanan itu dapat digunakan untuk melancarkan serangan berikutnya dengan sedikit biaya tambahan untuk pengembangan. (Lihat:
Google TAG: Hacker Korea Utara Targetkan Peneliti Keamanan Lewat Media Sosial) []
Editor: Yuswardii A. Suud
