Volexity melacak berbagai aktor ancaman untuk memberikan wawasan unik dan informasi yang dapat ditindaklanjuti kepada pelanggan Threat Intelligence-nya. Salah satu yang sering ditemui—yang sering menghasilkan investigasi forensik pada sistem yang disusupi—dilacak oleh Volexity sebagai SharpTongue. Aktor ini diyakini berasal dari Korea Utara dan sering disebut publik dengan nama Kimsuky.Volexity sering mengamati SharpTongue menargetkan dan mengorbankan individu yang bekerja untuk organisasi di Amerika Serikat, Eropa dan Korea Selatan yang bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menjadi kepentingan strategis Korea Utara.
Pada September 2021, Volexity mulai mengamati keluarga malware yang menarik dan tidak terdokumentasi yang digunakan oleh SharpTongue. Dalam setahun terakhir, Volexity telah menanggapi beberapa insiden yang melibatkan SharpTongue dan, dalam banyak kasus, telah menemukan ekstensi berbahaya Google Chrome atau Microsoft Edge yang disebut Volexity “SHARPEXT”.
SHARPEXT berbeda dari ekstensi yang didokumentasikan sebelumnya yang digunakan oleh aktor “Kimsuky”, karena tidak mencoba mencuri nama pengguna dan kata sandi. Sebaliknya, malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya. Sejak penemuannya, ekstensi telah berkembang dan saat ini berada di versi 3.0, berdasarkan sistem versi internal. Ini mendukung tiga browser web dan pencurian email dari Gmail dan webmail AOL.
Penggunaan ekstensi peramban berbahaya oleh aktor ancaman Korea Utara bukanlah hal baru; taktik ini biasanya digunakan untuk menginfeksi pengguna sebagai bagian dari fase pengiriman serangan. Namun, ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi. Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang. Demikian pula, cara kerja ekstensi berarti aktivitas mencurigakan tidak akan dicatat di halaman status “aktivitas akun” email pengguna, jika mereka meninjaunya.
Penerapan SHARPEXT sangat disesuaikan, karena penyerang harus terlebih dahulu mendapatkan akses ke file Preferensi Keamanan browser asli korban. File ini kemudian dimodifikasi dan digunakan untuk menyebarkan ekstensi berbahaya. Volexity telah mengamati SharpTongue menyebarkan SHARPEXT terhadap target selama lebih dari setahun; dan, dalam setiap kasus, folder khusus untuk pengguna yang terinfeksi dibuat berisi file yang diperlukan untuk ekstensi.
Volexity telah mengikuti evolusi SHARPEXT karena beberapa keterlibatan yang ditangani oleh tim respons insidennya. Ketika Volexity pertama kali menemukan SHARPEXT, tampaknya merupakan alat dalam pengembangan awal yang mengandung banyak bug, indikasi bahwa alat tersebut belum matang. Pembaruan terbaru dan pemeliharaan berkelanjutan menunjukkan penyerang mencapai tujuannya, menemukan nilai dalam terus menyempurnakannya. Visibilitas Volexity sendiri menunjukkan ekstensi telah cukup berhasil, karena log yang diperoleh Volexity menunjukkan penyerang berhasil mencuri ribuan email dari banyak korban melalui penyebaran malware.
Untuk mendeteksi dan menyelidiki serangan seperti ini secara umum, Volexity merekomendasikan hal berikut:
- Karena PowerShell memainkan peran kunci dalam penyiapan dan pemasangan malware, mengaktifkan dan menganalisis hasil logging PowerShell ScriptBlock dapat berguna untuk identifikasi dan triase aktivitas berbahaya.
- Tim keamanan yang bertanggung jawab untuk membela pengguna yang sangat ditargetkan oleh pelaku ancaman ini dapat mempertimbangkan untuk meninjau ekstensi yang diinstal pada mesin pengguna berisiko tinggi secara berkala untuk mengidentifikasi ekstensi yang tidak tersedia di Toko Web Chrome atau dimuat dari jalur yang tidak biasa.
Untuk mencegah serangan spesifik ini, Volexity merekomendasikan hal berikut:
- Gunakan aturan YARA di sini untuk mendeteksi aktivitas terkait.
- Blokir IOC yang terdaftar di sini.
Sumber: Volexity
