Aktor ancaman terkait Korea Utara yang dikenal sebagai Kimsuky telah diamati menggunakan taktik baru yang melibatkan penipuan target untuk menjalankan PowerShell sebagai administrator dan kemudian menginstruksikan mereka untuk menempel dan menjalankan kode berbahaya yang disediakan oleh mereka.
“Untuk melaksanakan taktik ini, aktor ancaman menyamar sebagai pejabat pemerintah Korea Selatan dan dari waktu ke waktu membangun hubungan dengan target sebelum mengirim email phishing tombak dengan sebuah [sic] Lampiran PDF, “tim Microsoft Ancaman Intelijen mengatakan dalam serangkaian posting yang dibagikan di X.
Untuk membaca dokumen PDF yang diakui, para korban dibujuk untuk mengklik URL yang berisi daftar langkah untuk mendaftarkan sistem Windows mereka. Tautan pendaftaran mendesak mereka untuk meluncurkan PowerShell sebagai administrator dan menyalin/menempel cuplikan kode yang ditampilkan ke terminal, dan menjalankannya.
Jika korban menindaklanjuti, kode berbahaya mengunduh dan menginstal alat desktop jarak jauh berbasis browser, bersama dengan file sertifikat dengan pin hardcoded dari server jarak jauh.
“Kode kemudian mengirimkan permintaan web ke server jarak jauh untuk mendaftarkan perangkat korban menggunakan sertifikat dan PIN yang diunduh. Ini memungkinkan aktor ancaman untuk mengakses perangkat dan melakukan exfiltration data,” kata Microsoft.
Raksasa teknologi itu mengatakan mengamati penggunaan pendekatan ini dalam serangan terbatas sejak Januari 2025, menggambarkannya sebagai keberangkatan dari pedagang aktor ancaman yang biasa.
Perlu dicatat bahwa Kimsuky bukan satu -satunya kru peretasan Korea Utara yang mengadopsi strategi kompromi. Pada bulan Desember 2024, terungkap bahwa aktor ancaman yang terkait dengan kampanye wawancara menular menipu pengguna untuk menyalin dan melaksanakan perintah jahat pada sistem macOS Apple mereka melalui aplikasi terminal untuk mengatasi masalah yang seharusnya dengan mengakses kamera dan mikrofon melalui browser web.
Serangan semacam itu, bersama dengan yang telah merangkul apa yang disebut metode clickfix, telah lepas landas dalam beberapa bulan terakhir, sebagian didorong oleh fakta bahwa mereka mengandalkan target untuk menginfeksi mesin mereka sendiri, sehingga melewati perlindungan keamanan.
Wanita Arizona mengaku bersalah menjalankan peternakan laptop untuk pekerja TI Korea
Perkembangan ini terjadi ketika Departemen Kehakiman AS (DOJ) mengatakan seorang wanita berusia 48 tahun dari negara bagian Arizona mengaku bersalah atas perannya dalam skema pekerja TI penipuan yang memungkinkan aktor ancaman Korea Utara untuk mendapatkan pekerjaan terpencil di lebih dari 300 Perusahaan AS dengan menyamar sebagai warga negara dan penduduk AS.
Kegiatan ini menghasilkan lebih dari $ 17,1 juta dalam pendapatan terlarang untuk Christina Marie Chapman dan untuk Korea Utara yang melanggar sanksi internasional antara Oktober 2020 dan Oktober 2023, kata departemen itu.
“Chapman, warga negara Amerika, berkonspirasi dengan pekerja TI di luar negeri dari Oktober 2020 hingga Oktober 2023 untuk mencuri identitas warga negara AS dan menggunakan identitas tersebut untuk mengajukan pekerjaan TI terpencil dan, sebagai kelanjutan dari skema tersebut, mengirimkan dokumen palsu ke Departemen of of Keamanan Dalam Negeri, “kata DOJ.
“Chapman dan kokonnya memperoleh pekerjaan di ratusan perusahaan AS, termasuk perusahaan Fortune 500, seringkali melalui perusahaan staf sementara atau organisasi kontrak lainnya.”
Terdakwa, yang ditangkap pada Mei 2024, juga dituduh menjalankan peternakan laptop dengan menampung beberapa laptop di kediamannya untuk memberi kesan bahwa para pekerja Korea Utara bekerja dari dalam negeri, ketika, pada kenyataannya, mereka berbasis Di Cina dan Rusia dan terhubung dari jarak jauh ke sistem internal perusahaan.
“Sebagai hasil dari perilaku Chapman dan konspiratornya, lebih dari 300 perusahaan AS terpengaruh, lebih dari 70 identitas orang AS dikompromikan, pada lebih dari 100 kali informasi palsu disampaikan kepada DHS, dan lebih dari 70 orang AS memiliki Kewajiban pajak palsu yang dibuat atas nama mereka, “tambah DOJ.
Peningkatan pengawasan penegakan hukum telah menyebabkan eskalasi skema pekerja TI, dengan laporan yang muncul dari exfiltrasi dan pemerasan.
“Setelah ditemukan di jaringan perusahaan, pekerja TI Korea Utara telah memeras para korban dengan memegang data hak milik yang dicuri dan sandera kode sampai perusahaan memenuhi tuntutan tebusan,” kata Biro Investigasi Federal AS (FBI) dalam sebuah penasihat bulan lalu. “Dalam beberapa kasus, pekerja TI Korea Utara telah secara terbuka merilis kode hak milik perusahaan korban.”
