Peretas Korea Utara Gunakan Backdoor Dolphin Untuk Menargetkan Korea Selatan
illustrasi
Cyberthreat.id – Peneliti keamanan dari ESET mengungkapkan grup ScarCruft yang terkait dengan Korea Utara telah dikaitkan dengan backdoor yang sebelumnya tidak berdokumen yang disebut Dolphin yang telah digunakan aktor ancaman terhadap target di Korea Selatan.
Dikutip dari The Hacker News, peneliti ESET Filip Jurčacko mengatakan backdoor ini memiliki berbagai kemampuan mata-mata, termasuk memantau drive dan perangkat portabel dan mengekstraksi file yang menarik, keylogging dan mengambil tangkapan layar, dan mencuri kredensial dari browser.
“Dolphin sendiri digunakan secara selektif, dengan malware menggunakan layanan cloud seperti Google Drive untuk eksfiltrasi data serta command-and-control,” kata Jurčacko.
Perusahaan cybersecurity asal Slovakia mengatakan menemukan implan yang digunakan sebagai muatan tahap akhir sebagai bagian dari serangan watering hole pada awal 2021 yang ditujukan terhadap surat kabar digital Korea Selatan. Kampanye tersebut, yang pertama kali ditemukan oleh Kaspersky dan Volexity tahun lalu, melibatkan persenjataan dua kelemahan Internet Explorer (CVE-2020-1380 dan CVE-2021-26411) untuk menjatuhkan backdoor bernama BLUELIGHT.
ScarCruft, juga disebut APT37, InkySquid, Reaper, dan Ricochet Chollima, adalah grup APT bermotivasi geo-politik yang memiliki rekam jejak menyerang entitas pemerintah, diplomat, dan organisasi berita yang terkait dengan urusan Korea Utara. Sudah diketahui aktif setidaknya sejak 2012.
Awal April ini, firma keamanan siber Stairwell mengungkapkan detail serangan spear-phishing yang menargetkan jurnalis yang meliput negara dengan tujuan akhir menyebarkan malware yang dijuluki GOLDBACKDOOR yang berbagi tumpang tindih taktis dengan BLUELIGHT. Temuan terbaru dari ESET menjelaskan backdoor kedua yang lebih canggih yang dikirim ke sekelompok kecil korban melalui BLUELIGHT, yang menunjukkan operasi spionase yang sangat ditargetkan.
Hal ini dicapai dengan mengeksekusi kode shell penginstal yang mengaktifkan loader yang terdiri dari komponen Python dan kode shell, yang terakhir menjalankan loader kode shell lain untuk menjatuhkan backdoor.
“Sementara backdoor BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi, Dolphin lebih canggih dan digunakan secara manual hanya terhadap korban terpilih,” jelas Jurčacko.
Menurutnya, hal yang membuat Dolphin jauh lebih kuat daripada BLUELIGHT adalah kemampuannya untuk mencari perangkat yang dapat dilepas dan smartphone yang terhubung, dan mengekstraksi file yang menarik, seperti media, dokumen, email, dan sertifikat. Sejak penemuan aslinya pada April 2021, backdoor ini telah mengalami tiga iterasi berturut-turut yang datang dengan serangkaian peningkatan fiturnya sendiri dan memberinya lebih banyak kemampuan penghindaran deteksi.
“Satu kemampuan yang tidak biasa ditemukan di versi backdoor sebelumnya adalah kemampuan untuk mengubah pengaturan akun Google dan Gmail korban untuk menurunkan keamanan mereka, mungkin untuk mempertahankan akses akun bagi pelaku ancaman,” kata dia.
