Grup Lazarus, aktor ancaman terkenal yang terkait dengan Republik Demokratik Rakyat Korea (DPRK), telah diamati memanfaatkan “rantai infeksi yang kompleks” yang menargetkan setidaknya dua karyawan yang tergabung dalam organisasi terkait nuklir yang tidak disebutkan namanya dalam rentang waktu satu bulan di Januari 2024.
Serangan tersebut, yang berpuncak pada penerapan pintu belakang modular baru yang disebut sebagai CookiePlusadalah bagian dari kampanye spionase dunia maya yang sudah berjalan lama yang dikenal sebagai Operation Dream Job, yang juga dilacak sebagai NukeSped oleh perusahaan keamanan siber Kaspersky. Ia diketahui aktif setidaknya sejak tahun 2020, ketika diekspos oleh ClearSky.
Aktivitas ini sering kali melibatkan penargetan pengembang dan karyawan di berbagai perusahaan, termasuk pertahanan, dirgantara, mata uang kripto, dan sektor global lainnya, dengan peluang kerja yang menguntungkan yang pada akhirnya mengarah pada penyebaran malware di mesin mereka.
“Lazarus tertarik untuk melakukan serangan rantai pasokan sebagai bagian dari kampanye DeathNote, namun hal ini sebagian besar terbatas pada dua metode: yang pertama adalah dengan mengirimkan dokumen berbahaya atau penampil PDF trojan yang menampilkan deskripsi pekerjaan yang disesuaikan dengan target,” jelasnya. Perusahaan Rusia mengatakan dalam analisis mendalam.
“Yang kedua adalah dengan mendistribusikan alat akses jarak jauh yang telah di trojan seperti VNC atau PuTTY untuk meyakinkan target agar terhubung ke server tertentu untuk penilaian keterampilan.”
Rangkaian serangan terbaru yang didokumentasikan oleh Kaspersky melibatkan metode kedua, dimana musuh memanfaatkan rantai infeksi yang telah diubah sepenuhnya dengan mengirimkan utilitas VNC yang telah di-trojan dengan dalih melakukan penilaian keterampilan untuk posisi TI di perusahaan-perusahaan dirgantara dan pertahanan terkemuka.
Perlu dicatat bahwa penggunaan aplikasi VNC versi jahat oleh Lazarus Group untuk menargetkan insinyur nuklir sebelumnya disorot oleh perusahaan tersebut pada bulan Oktober 2023 dalam laporan tren APT untuk Q3 tahun 2023.
“Lazarus mengirimkan file arsip pertama ke setidaknya dua orang dalam organisasi yang sama (kami menyebutnya Host A dan Host B),” kata peneliti Vasily Berdnikov dan Sojun Ryu. “Setelah sebulan, mereka mencoba melakukan serangan yang lebih intensif terhadap target pertama.”
Aplikasi VNC, versi Trojan dari TightVNC yang disebut “AmazonVNC.exe,” diyakini telah didistribusikan dalam bentuk image ISO dan file ZIP. Dalam kasus lain, versi UltraVNC yang sah digunakan untuk melakukan sideload DLL berbahaya yang dikemas dalam arsip ZIP.
DLL (“vnclang.dll”) berfungsi sebagai pemuat untuk pintu belakang yang dijuluki MISTPEN, yang ditemukan oleh Mandiant milik Google pada September 2024. DLL melacak kluster aktivitas dengan moniker UNC2970. MISTPEN, pada bagiannya, diketahui mengirimkan dua muatan tambahan dengan nama kode RollMid dan varian baru LPEClient.
Kaspersky mengatakan pihaknya juga mengamati malware CookieTime yang disebarkan di Host A, meskipun metode pasti yang digunakan untuk memfasilitasinya masih belum diketahui. Pertama kali ditemukan oleh perusahaan pada bulan September dan November 2020, CookieTime dinamai demikian karena penggunaan nilai cookie yang disandikan dalam permintaan HTTP untuk mengambil instruksi dari server perintah dan kontrol (C2).
Investigasi lebih lanjut terhadap rantai serangan telah mengungkapkan bahwa pelaku ancaman berpindah secara lateral dari Host A ke mesin lain (Host C), di mana CookieTime kembali digunakan untuk menjatuhkan berbagai muatan antara bulan Februari dan Juni 2024, seperti berikut –
- LPEClient, malware yang dilengkapi dengan kemampuan untuk membuat profil host yang disusupi
- ServiceChanger, malware yang menghentikan layanan sah yang ditargetkan untuk melakukan sideload DLL jahat yang tertanam di dalamnya menggunakan executable melalui side-loading DLL
- Charamel Loader, malware pemuat yang mendekripsi dan memuat sumber daya internal seperti CookieTime, CookiePlus, dan ForestTiger
- CookiePlus, program berbahaya berbasis plugin baru yang dimuat oleh ServiceChanger dan Charamel Loader
“Perbedaan antara setiap CookiePlus yang dimuat oleh Charamel Loader dan ServiceChanger adalah cara eksekusinya. CookiePlus berjalan sebagai DLL saja dan menyertakan informasi C2 di bagian sumber dayanya,” para peneliti menunjukkan.
“Yang terakhir mengambil apa yang disimpan dalam file eksternal terpisah seperti msado.inc, artinya CookiePlus memiliki kemampuan untuk mendapatkan daftar C2 dari sumber daya internal dan file eksternal. Jika tidak, perilakunya akan sama.”
CookiePlus mendapatkan namanya dari fakta bahwa ia disamarkan sebagai plugin Notepad++ sumber terbuka yang disebut ComparePlus ketika pertama kali terdeteksi di alam liar. Dalam serangan yang menargetkan entitas terkait nuklir, serangan tersebut diketahui didasarkan pada proyek lain bernama DirectX-Wrappers.
Malware ini berfungsi sebagai pengunduh untuk mengambil muatan terenkripsi RSA yang dikodekan Base64 dari server C2, yang kemudian didekodekan dan diuraikan untuk mengeksekusi tiga kode shell atau DLL yang berbeda. Shellcode dilengkapi dengan fitur untuk mengumpulkan informasi sistem dan membuat modul utama CookiePlus tertidur selama beberapa menit tertentu.
CookiePlus diduga merupakan penerus MISTPEN karena perilaku yang tumpang tindih antara kedua keluarga malware tersebut, termasuk aspek bahwa keduanya menyamar sebagai plugin Notepad++.
“Sepanjang sejarahnya, kelompok Lazarus hanya menggunakan sejumlah kecil kerangka malware modular seperti Mata dan Gopuram Loader,” kata Kaspersky. “Fakta bahwa mereka memperkenalkan malware modular baru, seperti CookiePlus, menunjukkan bahwa kelompok tersebut terus berupaya meningkatkan persenjataan dan rantai infeksi mereka untuk menghindari deteksi oleh produk keamanan.”
Temuan ini muncul ketika firma intelijen blockchain Chainalysis mengungkapkan bahwa pelaku ancaman yang berafiliasi dengan Korea Utara telah mencuri $1,34 miliar dari 47 peretasan mata uang kripto pada tahun 2024, naik dari $660,50 juta pada tahun 2023. Ini termasuk pelanggaran pertukaran mata uang kripto Jepang, DMM Bitcoin, pada bulan Mei 2024, yang mengakibatkan kerugian. kerugian sebesar $305 juta pada saat itu.
“Sayangnya, tampaknya serangan kripto di Korea Utara semakin sering terjadi,” kata perusahaan itu. “Yang perlu diperhatikan, serangan senilai $50 hingga $100 juta, dan serangan di atas $100 juta, terjadi jauh lebih sering pada tahun 2024 dibandingkan pada tahun 2023, hal ini menunjukkan bahwa Korea Utara menjadi lebih baik dan lebih cepat dalam melakukan eksploitasi besar-besaran.”
