AS Temukan Tiga Varian Malware Baru yang Digunakan Hacker Korea Utara

Cyberthreat.id - Pemerintah Amerika Serikat (AS) baru-baru ini menerbitkan informasi tentang varian malware baru. HIDDEN COBRA, kelompok hacker yang didukung pemerintah Korea Utara, diduga memanfaatkan varian malware baru ini dalam berbagai operasi serangan cyber.

Kelompok ini menggunakan malware untuk melakukan phishing dan akses jarak jauh (remote access). Informasi itu berdasarkan laporan bersama yang diterbitkan Cybersecurity dan Infrastructure Security Agency (CISA), Biro Investigasi Federal (FBI), dan Departemen Pertahanan (DoD).

"Tujuannya adalah untuk melakukan kegiatan ilegal, mencuri dana, dan memotong (bypass) sanksi," tulis Cyware Hacker News, Jumat (15 Mei 2020).

Cyber ​​Command AS juga telah mengunggah lima sampel varian malware yang baru ditemukan di VirusTotal, semacam repositori agregasi malware.

CISA menerbitkan laporan analisis malware komprehensif (MAR) yang terdiri dari indikator kompromi (IOC) dan Aturan YARA untuk setiap sampel yang terdeteksi.

Aturan YARA adalah cara mengidentifikasi malware (atau file lain) dengan membuat aturan yang mencari karakteristik tertentu. YARA awalnya dikembangkan oleh Victor Alvarez dari Virustotal dan terutama digunakan dalam penelitian dan deteksi malware.

Sementara MAR diterbitkan untuk membantu mendeteksi pertahanan jaringan serta meminimalkan paparan aktivitas berbahaya dari HIDDEN COBRA.

Tiga varian Malware yang baru ditemukan itu adalah:

1. COPPERHEDGE.

Salah satu varian malware baru merupakan alat akses jarak jauh (Remote Access Tool/RAT). Varian ini digunakan kelompok hacker Advanced Persistent Threat (APT) untuk menargetkan pertukaran cryptocurrency dan entitas terkait.

RAT membantu hacker melakukan survei sistem, menjalankan perintah sewenang-wenang (arbitrary commands) pada sistem yang diretas, hingga mengekstrak data yang dicuri.

2. TAINTEDSCRIBE.

Adalah trojan yang berperilaku sebagai implan suar (beaconing implant), berfitur lengkap, yang terintegrasi dengan modul perintah (command modules). Menyamar sebagai Narator Microsoft, trojan ini dapat mengunduh modul eksekusi perintahnya dari server perintah dan kontrol (C2) dan kemudian mengunduh, mengunggah, menghapus, dan mengeksekusi file.

3. PEBBLEDASH.

Adalah trojan ketiga yang bertindak seperti implan suar dan memungkinkan kelompok hacker Korea Utara mengunduh, mengunggah, menghapus, dan mengeksekusi file. Ini memungkinkan Windows Command-Line Interface (CLI) mengakses, membuat, dan mengakhiri proses, serta melakukan enumerasi sistem target.

Apa saja yang dilakukan HIDDEN COBRA?

Pada bulan April, pemerintah AS mengeluarkan pedoman tentang aktivitas peretasan Korea Utara dan menawarkan hadiah $ 5 juta untuk setiap informasi tentang aktivitas ilegal hacker asal negara tersebut.

Selama tajun 2017 hingga 2018, kelompok hacker yang disponsori Korea Utara berada di belakang perampasan cryptocurrency yang menyebabkan kerugian $ 571 juta. Kemudian pada 2019, Departemen Keuangan AS mengeluarkan sanksi terhadap tiga kelompok peretasan Korea Utara, yaitu, Lazarus, Andariel, dan Bluenoroff.

Pada tahun 2019, FBI dan CISA mengeluarkan informasi tentang dua malware, ELECTRICFISH dan HOPLIGHT, yang dimanfaatkan oleh kelompok APT asal Korea Utara, Lazarus. Malware ELECTRICFISH digunakan untuk mencuri data, trojan HOPLIGHT digunakan untuk menutupi lalu lintas berbahaya.