Geng Hacker Lazarus Korut Pakai Malware Baru Bernama Vyveva
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan keamanan siber asal Slowakia, ESET, mendeteksi operasi serangan siber yang dilakukan oleh geng peretas canggih (APT) yang diduga mendapat dukungan negara Korea Utara, Lazarus Group.
ESET mengatakan, geng tersebut menggunakan malware baru bernama “Vyveva” untuk menargetkan perusahaan pengiriman logistik di Afrika Selatan.
Vyveva pertama kali ditemukan pada Juni 2020. Namun, ESET menduga dengan sejumlah temuannya malware tersebut telah dipakai sejak Desember 2018.
Peneliti keamanan ESET, Filip Jurčacko, mengutarakan, baru menemukan dua komputer milik perusahaan Afsel yang terinfeksi Vyveva. Peretas memakai pintu belakang (backdoor) sehingga bisa melakukan aksi spionase.
"Vyveva memiliki banyak kesamaan kode dengan sampel Lazarus lama yang dideteksi oleh teknologi ESET," ungkap Jurčacko seperti dikutip dari BleepingComputer, diakses Jumat (9 April 2021).
Jurčacko mengatakan, kemiripan kode tersebut tidak hanya terkait dengan sampel Lazarus yang lama, tetapi penggunaan protokol TLS palsu dalam komunikasi jaringan, rantai eksekusi baris perintah, dan metode penggunaan enkripsi dan layanan Tor—semuanya mengarah ke Lazarus.
“Oleh karena itu, kami dapat mengatribusikan Vyveva ke APT ini dengan keyakinan yang tinggi,” tambah Jurčacko.
Menurutnya, malware dilengkapi dengan sejumlah fitur spionase siber yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi.
Lazarus bahkan dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode arbitrer berbahaya ke sistem yang diretas.
Malware tersebut juga memiliki fitur yang memungkinkan operatornya untuk memanipulasi tanggal file menggunakan metadata dari file lain di sistem atau dengan mengatur tanggal acak antara 2000 hingga 2004 untuk menyembunyikan file baru atau yang dimodifikasi.
Sementara itu, backdoor akan terhubung ke peladen (server) command-and-control (C2) setiap tiga menit.
"Vyveva merupakan malware lain dari gudang malware Lazarus yang ekstensif. Menyerang sebuah perusahaan di Afrika Selatan menunjukkan serangan mereka lebih yang luas,” ujar Jurčacko.
Lazarus merupakan salah satu kelompok peretas militer yang didukung oleh Korea Utara. Kelompok ini juga dikenal sebagai “Hidden Cobra” oleh komunitas Intelijen Amerika Serikat.
Mereka pernah menyerang Sony Films pada tahun 2014, beberapa bank di seluruh dunia, dan mengoordinasikan ransomware WannaCry global pada 2017.
Mereka juga diketahui menargetkan industri pertahanan dengan “pintu belakang” yang sebelumnya tidak berdokumen, yang dijuluki “ThreatNeedle“, dalam spionase aktif sejak awal 2020.[]
Redaktur: Andi Nugroho
