Pusat Keamanan Siber Nasional Korea Selatan (NCSC) memperingatkan bahwa peretas DPRK yang didukung negara membajak kelemahan dalam pembaruan perangkat lunak VPN untuk menyebarkan malware dan membobol jaringan.
Penasihat tersebut menghubungkan aktivitas ini dengan proyek modernisasi pabrik industri nasional yang diumumkan Kim Jong-un, Presiden Korea Utara, pada Januari 2023, yang meyakini para peretas ingin mencuri rahasia dagang dari Korea Selatan.
Dua kelompok ancaman yang terlibat dalam aktivitas ini adalah Kimsuky (APT43) dan Andariel (APT45), aktor yang disponsori negara yang sebelumnya terkait dengan Grup Lazarus yang terkenal kejam.
“Komunitas Informasi mengaitkan aktivitas peretasan ini dengan organisasi peretasan Kimsuky dan Andariel di bawah Biro Umum Pengintaian Korea Utara, dengan memperhatikan sifat yang belum pernah terjadi sebelumnya dari kedua organisasi yang menargetkan sektor yang sama secara bersamaan untuk tujuan kebijakan tertentu,” demikian peringatan NCSC.
Pembaruan dan penginstal yang terkena virus Trojan
Dalam kasus pertama yang disorot dalam nasihat tersebut, tertanggal Januari 2024, Kimsuky membahayakan situs web organisasi perdagangan konstruksi Korea Selatan untuk menyebarkan malware kepada pengunjung.
Menurut sebuah penelitian Laporan bulan Februari oleh ASEC, ketika karyawan mencoba masuk ke situs web organisasi tersebut, mereka diminta untuk menginstal perangkat lunak keamanan yang diperlukan yang disebut “NX_PRNMAN” atau “TrustPKI.”
Penginstal yang terkena virus Trojan ini ditandatangani secara digital dengan sertifikat yang sah dari perusahaan pertahanan Korea “D2Innovation,” yang secara efektif menerobos pemeriksaan antivirus.
Ketika perangkat lunak Trojan dipasang, malware tersebut juga disebarkan untuk mengambil tangkapan layar, mencuri data yang disimpan di browser (kredensial, cookie, bookmark, riwayat), dan mencuri sertifikat GPKI, kunci SSH, Sticky Notes, dan data FileZilla.
Kampanye ini menginfeksi sistem perusahaan konstruksi Korea Selatan, lembaga publik, dan pemerintahan daerah.
Sumber: NCSC
Kasus kedua terjadi pada April 2024, ketika NCSC mengatakan pelaku ancaman Andariel mengeksploitasi kerentanan dalam protokol komunikasi perangkat lunak VPN domestik untuk menyebarkan pembaruan perangkat lunak palsu yang memasang malware DoraRAT.
“Pada bulan April 2024, kelompok peretas Andariel mengeksploitasi kerentanan dalam perangkat lunak keamanan domestik (keamanan VPN dan server) untuk mengganti berkas pembaruan dengan malware, mendistribusikan malware kendali jarak jauh bernama “DoraRAT” ke perusahaan konstruksi dan permesinan,” demikian penjelasan versi terjemahan mesin dari nasihat NCSC.
NCSC mengatakan kerentanan tersebut memungkinkan pelaku ancaman untuk memalsukan paket ke PC pengguna, yang salah mengidentifikasi paket tersebut sebagai pembaruan server yang sah, sehingga memungkinkan versi berbahaya diinstal.
DoraRAT adalah trojan akses jarak jauh (RAT) ringan dengan fungsionalitas minimal yang memungkinkannya beroperasi lebih tersembunyi.
Varian yang diamati dalam serangan khusus ini dikonfigurasi untuk mencuri berkas besar, seperti dokumen desain mesin dan peralatan, dan mengekstraknya ke server perintah dan kontrol penyerang.
Sumber: NCSC
NCSC mengatakan operator situs web yang berisiko menjadi sasaran peretas yang disponsori negara harus meminta pemeriksaan keamanan dari Badan Internet & Keamanan Korea (KISA).
Selain itu, direkomendasikan agar kebijakan persetujuan distribusi perangkat lunak yang ketat diterapkan dan autentikasi administrator diperlukan untuk tahap distribusi akhir.
Saran umum lainnya mencakup pembaruan perangkat lunak dan OS yang tepat waktu, pelatihan keamanan karyawan yang berkelanjutan, dan pemantauan nasihat keamanan siber pemerintah untuk mengidentifikasi dan menghentikan ancaman yang muncul dengan cepat.
