APT Korea Utara Kembali Menargetkan Peneliti Keamanan Menggunakan Perusahaan dan Akun Media Sosial Palsu
Ilustrasi via Vox.com
Cyberthreat.id – Peneliti dari Google Threat Analys Group (TAG), mengatakan bahwa saat ini kelompok peretas yang didukung negara Korea Utara kembali menargetkan peneliti keamanan siber dengan menggunakan akun Twitter dan media sosial LinkedIn palsu.
Seperti diberitakan Bleeping Computer, peneliti dari Google TAG, Adam Weidemann, mengatakan, para peretas juga membuat situs web untuk perusahaan keamanan palsu bernama SecuriElite yang berlokasi di Turki. Bahkan, para peretas diduga menawarkan layanan keamanan ofensif ketika tim keamanan Google fokus memburu peretas yang didukung negara yang ditemukan pada 17 Maret.
Menurut Weidemann, semua akun LinkedIn dan Twitter yang digunakan oleh peretas Korea Utara dan terkait dengan kampanye baru ini, telah dilaporkan oleh Google dan saat ini telah dinonaktifkan oleh penyedia platform.
Sama seperti serangan yang terdeteksi selama Januari 2021, situs ini juga menghosting kunci publik PGP penyerang, yang digunakan sebagai umpan untuk menginfeksi peneliti keamanan dengan malware setelah memicu eksploitasi browser saat membuka halaman. Namun, serangan tersebut masih terlihat pada fase awal karena situs SecuriElite belum disiapkan untuk mengirimkan muatan berbahaya apa pun.
“Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Penjelajahan Aman Google sebagai tindakan pencegahan,“ kata Wiedmann.
Weidmann menambahkan, jika dilihat berdasarkan aktivitas yang dilakukan terkait ancaman ini, pihaknya meyakini jika APT Korea Utara ini berbahaya. Terlebih mereka tidak hanya sekedar memanfaatkan kerentanan zero-day saja.
“Kami mendorong siapa pun yang menemukan kerentanan Chrome untuk melaporkan aktivitas tersebut melalui proses pengiriman Program Penghargaan Kerentanan Chrome,” ujarnya.
Seelumnya diberitakan, peneliti Google TAG juga mengungkapkan peretas yang disponsori oleh pemerintah Korea Utara, Lazarus Group menargetkan peneliti keamanan dalam serangan rekayasa sosial menggunakan persona media sosial seperti Twitter, LinkedIn, Telegram, Discord, Keybase dan juga e-mail) sebagai peneliti keamanan palsu.
Para penyerang mengirim Proyek Visual Studio berbahaya dan tautan ke situs web berbahaya yang menghosting exploit kit yang dirancang untuk memasang semacam pintu belakang pada komputer peneliti yang ditargetkan.
Bahkan, beberapa peneliti yang menggunakan perangkat dengan Windows 10 versi terbaru dan menjalankan versi Google Chrome terbaru, juga turut terinfeksi dalam serangan tersebut, menunjukkan bahwa peretas menggunakan kerentanan zero-day untuk menyusupi perangkat target.
Tak hanya itu, Microsoft juga sempat melaporkan bahwa mereka telah melacak serangan tersebut dan melihat operator Lazarus mengirimkan file MHTML dengan JavaScript berbahaya kepada para peneliti keamanan siber.[]
Editor: Yuswardi A. Suud
