Pusat Koordinasi Tim Tanggap Darurat Komputer Jepang (JPCERT/CC) memperingatkan bahwa organisasi-organisasi Jepang menjadi sasaran serangan oleh aktor ancaman ‘Kimsuky’ Korea Utara.
Itu Pemerintah AS telah mengaitkan Kimsuky sebagai kelompok ancaman persisten tingkat lanjut (APT) Korea Utara yang melakukan serangan terhadap target di seluruh dunia untuk mengumpulkan intelijen mengenai topik yang menjadi kepentingan pemerintah Korea Utara.
Para pelaku ancaman diketahui menggunakan rekayasa sosial Dan pengelabuan untuk mendapatkan akses awal ke jaringan. Mereka kemudian menyebarkan perangkat lunak berbahaya khusus untuk mencuri data dan mempertahankan persistensi pada jaringan.
Jepang mengatakan serangan Kimsuky terdeteksi awal tahun ini, dan atribusi didasarkan pada indikator kompromi (IoC) yang dibagikan oleh AhnLab Security Intelligence Center (ASEC) dalam dua laporan terpisah (1Bahasa Indonesia: 2).
“JPCERT/CC telah mengonfirmasi adanya aktivitas serangan yang menargetkan organisasi Jepang oleh kelompok penyerang bernama Kimsuky pada bulan Maret 2024,” demikian peringatan jpcert.
Dimulai dengan phishing
Para penyerang memulai serangannya dengan mengirimkan email phishing yang menyamar sebagai organisasi keamanan dan diplomatik ke target di Jepang, dengan menyertakan lampiran ZIP berbahaya.
ZIP berisi file yang dapat dieksekusi yang menyebabkan infeksi malware dan dua file dokumen yang menyesatkan. Nama file yang dapat dieksekusi juga menggunakan banyak spasi agar muncul sebagai dokumen, menyembunyikan bagian “.exe”.
Saat dieksekusi oleh korban, muatan tersebut mengunduh dan mengeksekusi berkas VBS dan juga mengonfigurasi ‘C:UsersPublicPicturesdesktop.ini.bak’ untuk memulai secara otomatis melalui Wscript.
File VBS mengunduh skrip PowerShell untuk mengumpulkan informasi, seperti daftar proses, detail jaringan, daftar file dari folder (Unduhan, Dokumen, Desktop), dan informasi akun pengguna. Informasi ini kemudian dikirim ke URL jarak jauh di bawah kendali penyerang.
Informasi yang dikumpulkan ini membantu Kimsuky menentukan apakah perangkat yang terinfeksi adalah mesin pengguna yang sah atau lingkungan analisis.
Terakhir, file VBS baru dibuat dan dijalankan untuk mengunduh skrip PowerShell yang mencatat penekanan tombol dan informasi papan klip, yang kemudian dikirim ke penyerang.
.png)
Sumber: JPCERT/CC
Informasi yang dikumpulkan oleh keylogger dapat mencakup kredensial yang memungkinkan pelaku ancaman menyebar lebih jauh ke dalam sistem dan aplikasi organisasi.
Serangan Kimsuky terbaru
Pada bulan Mei 2024, ASEC menemukan Kimsuky menyebarkan malware CHM di Korea. Malware tersebut sebelumnya telah disebarkan dalam berbagai format, termasuk LNK, DOC, dan OneNote.
Alur serangan melibatkan eksekusi berkas Bantuan HTML Terkompilasi (CHM) yang menampilkan layar bantuan sekaligus menjalankan skrip berbahaya di latar belakang.
Sumber: ASEC
Skrip ini membuat dan mengeksekusi file di jalur profil pengguna. File tersebut kemudian terhubung ke URL eksternal untuk mengeksekusi skrip berbahaya berkode Base64 lainnya.
Skrip ini bertanggung jawab untuk mengekstrak informasi pengguna, membuat dan mendaftarkan skrip berbahaya sebagai layanan, dan melakukan pencatatan tombol.
Dibandingkan dengan varian sebelumnya, sampel malware terbaru yang dilihat oleh analis ASEC menggunakan pengaburan yang lebih canggih untuk menghindari deteksi.
Mengingat aktivitas Kimsuky yang terdeteksi di Jepang, CERT negara tersebut menggarisbawahi perlunya organisasi untuk waspada terhadap file CHM yang dapat berisi skrip yang dapat dieksekusi yang dirancang untuk mengirimkan malware.
