Hacker Korea Utara Berkeliaran Memburu Pengguna macOS
Dalam sebuah pengungkapan baru-baru ini, Elastic Security Labs telah menemukan intrusi cyber canggih oleh hacker Korea Utara yang diyakini terkait dengan kelompok Lazarus.
Insiden ini dilacak sebagai REF7001, melibatkan penggunaan malware macOS baru bernama Kandykorn.
Kandykorn telah dirancang khusus untuk menargetkan insinyur blockchain yang terlibat dalam platform pertukaran crypto.
Hacker Korea Utara Menargetkan Insinyur Crypto dengan Malware melalui Discord
Elastic Security Labs telah mengungkap intrusi cyber canggih oleh peretas Korea Utara yang diyakini terkait dengan Grup Lazarus yang terkenal kejam.
Insiden ini, yang menargetkan insinyur blockchain yang terlibat dalam platform pertukaran crypto.
Menggunakan program Python yang menipu yang menyamar sebagai bot arbitrase cryptocurrency. Apa yang membedakan serangan ini adalah metode distribusinya:
penyerang mendistribusikan malware melalui pesan pribadi di server Discord publik, yang tidak biasa dari taktik intrusi macOS.
“Korban percaya bahwa mereka menginstal bot arbitrase, alat perangkat lunak yang mampu mengambil untung dari perbedaan tingkat cryptocurrency antar platform.”
Setelah instalasi, malware Kandykorn memulai komunikasi dengan server command-and-control (C2), memanfaatkan RC4 terenkripsi dan menerapkan mekanisme jabat tangan yang berbeda.
Alih-alih secara aktif melakukan polling untuk perintah, itu dengan sabar menunggu mereka.
Metode canggih ini memungkinkan peretas untuk mempertahankan kendali atas sistem yang dikompromikan secara diam-diam.
Taktik malware Kandykorn ungkapkan hubungan dengan Lazarus Group
Elastic Security Labs telah memberikan wawasan berharga tentang kemampuan Kandykorn, yang menunjukkan kemahirannya dalam melakukan pengunggahan dan pengunduhan file, manipulasi proses, dan pelaksanaan perintah sistem arbitrer.
Yang menjadi perhatian khusus adalah pemanfaatan pemuatan biner reflektif, teknik eksekusi tanpa file yang terkait dengan Grup Lazarus yang terkenal kejam.
Grup Lazarus terkenal karena keterlibatannya dalam pencurian cryptocurrency dan penghindaran sanksi internasional.
Selain itu, ada bukti kuat yang menghubungkan serangan ini dengan Grup Lazarus di Korea Utara.
Kesamaan dalam teknik, infrastruktur jaringan, sertifikat yang digunakan untuk menandatangani perangkat lunak berbahaya.
Dan metode khusus untuk mendeteksi aktivitas Lazarus Group semuanya mengarah pada keterlibatan mereka.
Selain itu, transaksi on-chain telah mengungkapkan hubungan antara pelanggaran keamanan di Atomic Wallet, Alphapo, CoinsPaid, Stake.com, dan CoinEx.
Dalam insiden terpisah baru-baru ini, Grup Lazarus berusaha untuk mengkompromikan komputer Apple yang menjalankan macOS dengan menipu pengguna agar mengunduh aplikasi perdagangan crypto dari GitHub.
Setelah pengguna yang tidak curiga menginstal perangkat lunak dan memberikannya akses administratif, penyerang memperoleh entri backdoor ke dalam sistem operasi, memungkinkan akses jarak jauh.
Dengan mempelajari detail ini, Elastic Security Labs telah menjelaskan taktik canggih yang digunakan oleh Lazarus Group.
Menekankan pentingnya langkah-langkah keamanan siber yang kuat untuk melindungi dari ancaman semacam itu.