Lazarus

Peneliti keamanan: Begini cara peretas Lazarus memulai serangannya

May 9, 2022 by Eevee

Grup peretasan Lazarus adalah salah satu ancaman keamanan siber teratas dari Korea Utara, baru-baru ini menarik perhatian pemerintah AS karena pencurian cryptocurrency besar-besaran.

Sekarang para peneliti di NCCGroup telah mengumpulkan beberapa alat dan teknik yang digunakan peretas Lazarus baru-baru ini, termasuk rekayasa sosial di LinkedIn, mengirim pesan ke target kontraktor pertahanan AS di WhatsApp, dan menginstal pengunduh berbahaya LCPDot.

Pada bulan Februari, para peneliti di Qualys menemukan kelompok yang menyamar sebagai kontraktor pertahanan Lockheed Martin, menggunakan namanya sebagai iming-iming untuk peluang kerja dalam dokumen Word yang dicampur. Dokumen berisi makro berbahaya untuk menginstal malware dan mengandalkan Tugas Terjadwal untuk bertahan di sistem.

Lazarus secara historis telah menggunakan LinkedIn sebagai jaringan sosial pilihan untuk menghubungi para profesional dengan tawaran pekerjaan. Pada tahun 2020, para peneliti di F-Secure menemukan kelompok tersebut mencoba merekrut administrator sistem dengan dokumen phishing yang dikirim ke akun LinkedIn target mengenai perusahaan blockchain yang mencari sysadmin baru.

Pada bulan April, Departemen Keuangan AS menghubungkan Lazarus dengan pencurian $600 juta pada bulan Maret dari jaringan blockchain di belakang game play-to-earn Axie Finity.

Pada bulan yang sama, FBI, Cybersecurity and Infrastructure Security Agency, dan Treasury memperingatkan bahwa Lazarus saat ini berfokus pada pertukaran di industri blockchain dan cryptocurrency, menggunakan kampanye spear-phishing dan malware untuk mencuri cryptocurrency.

NCCGroup menemukan bahwa penggunaan profil Lockheed Martin palsu baru-baru ini untuk berbagi iklan pekerjaan dengan target bergantung pada dokumen yang dihosting di domain yang berusaha meniru situs rekrutmen yang berbasis di AS untuk lowongan pemerintah dan pertahanan.

Untuk melewati upaya Microsoft baru-baru ini untuk membatasi penggunaan makro dalam dokumen Office, situs web tersebut menghosting file ZIP yang berisi dokumen berbahaya yang digunakan untuk terhubung dengan server perintah dan kontrol Lazarus.

Microsoft pada bulan April memperkenalkan perilaku default Office baru yang memblokir makro VBA yang diperoleh dari internet dalam dokumen pada perangkat yang menjalankan Windows. Seorang pakar keamanan menyebutnya sebagai “pengubah permainan” karena prevalensi malware makro.

NCCGroup juga memperoleh sampel varian Lazarus dari LCPDot, pengunduh yang baru-baru ini dianalisis oleh Japan CERT, yang menghubungkannya dengan Lazarus.

Setelah mendaftarkan host yang disusupi dengan server perintah dan kontrol, pengunduh menerima muatan lain, mendekripsinya, dan kemudian memuatnya ke dalam memori.

NCCGroup mencantumkan beberapa domain yang mengindikasikan suatu organisasi telah disusupi oleh peretas.

Google pada bulan Maret merinci kampanye luas oleh kelompok terkait Lazarus yang menargetkan ratusan orang di seluruh sektor media dan teknologi dengan tawaran pekerjaan dalam email yang meniru perekrut dari Disney, Google, dan Oracle. Perusahaan analisis Blockchain Chainalysis memperkirakan peretas Korea Utara mencuri $400 juta dalam cryptocurrency pada tahun 2021.

Sumber: ZDnet

AS memperingatkan peretas Lazarus yang menggunakan aplikasi cryptocurrency berbahaya

April 19, 2022 by Eevee

CISA, FBI, dan Departemen Keuangan AS hari ini memperingatkan bahwa kelompok peretasan Lazarus Korea Utara menargetkan organisasi di industri cryptocurrency dan blockchain dengan aplikasi cryptocurrency tertrojan.

Penyerang menggunakan rekayasa sosial untuk mengelabui karyawan perusahaan cryptocurrency agar mengunduh dan menjalankan aplikasi cryptocurrency Windows dan macOS yang berbahaya.

Operator Lazarus kemudian menggunakan alat trojan ini untuk mendapatkan akses ke komputer target, menyebarkan malware ke seluruh jaringan mereka, dan mencuri kunci pribadi yang memungkinkan memulai transaksi blockchain palsu dan mencuri aset kripto korban dari dompet mereka.

“Penyusupan dimulai dengan sejumlah besar pesan spearphishing yang dikirim ke karyawan perusahaan cryptocurrency—seringkali bekerja di administrasi sistem atau pengembangan perangkat lunak/operasi TI (DevOps)—pada berbagai platform komunikasi,” demikian bunyi penasihat bersama yang diterbitkan pada hari Senin.

Aplikasi TraderTraitor yang tertrojan adalah utilitas berbasis Elektron dan lintas platform yang dikembangkan menggunakan JavaScript dan lingkungan runtime Node.js.

Aplikasi TraderTraitor hampir selalu didorong melalui situs web yang menampilkan desain modern yang mengiklankan fitur dugaan aplikasi kripto palsu.

“Muatan yang diamati termasuk macOS dan Windows varian Manuscrypt yang diperbarui, trojan akses jarak jauh khusus (RAT), yang mengumpulkan informasi sistem dan memiliki kemampuan untuk menjalankan perintah sewenang-wenang dan mengunduh muatan tambahan,” tambah agen federal.

Di antara aplikasi cryptocurrency TraderTraitor berbahaya yang digunakan dalam kampanye ini, saran bersama menyoroti:

DAFOM: “aplikasi portofolio cryptocurrency” (macOS)
TokenAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” untuk cryptocurrency (macOS)
CryptAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” (macOS)
AlticGO: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (Windows)
Esilet: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (macOS)
CreAI Deck: mengklaim sebagai platform untuk “kecerdasan buatan dan pembelajaran mendalam” (Windows dan macOS)

Tahun lalu, FBI, CISA, dan Departemen Keuangan AS juga berbagi informasi tentang aplikasi perdagangan crypto jahat dan palsu yang disuntik dengan malware AppleJeus yang digunakan oleh Lazarus untuk mencuri cryptocurrency dari individu dan perusahaan di seluruh dunia.

Daftar aplikasi yang di-trojan menggunakan AppleJeus termasuk Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio, dan Ants2Whale.

Departemen Kehakiman A.S. mendakwa tiga anggota Lazarus Group karena mencuri $1,3 miliar uang dan cryptocurrency dalam beberapa serangan terhadap bank, industri hiburan, perusahaan cryptocurrency, dan organisasi lain di seluruh dunia.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas Korea Utara (Lazarus Group, Bluenoroff, dan Andariel) karena menyalurkan aset keuangan yang mereka curi dalam serangan siber kepada pemerintah Korea Utara.

Sumber : Bleeping Computer

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

April 15, 2022 by Winnie the Pooh

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

January 28, 2022 by Eevee

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Penyerang Lazarus Beralih ke Rantai Pasokan TI

October 29, 2021 by Winnie the Pooh

Lazarus – kelompok ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan framework MATA multi-platformnya.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk spionase cyber.

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara yang dikenal sebagai BlindingCan.

Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia.

“Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat para peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur yang mencari pekerjaan dengan menyamar sebagai kontraktor pertahanan yang mencari kandidat pekerja.

Sebagai bagian dari rantai infeksi terhadap vendor alat pemantau aset Latvia, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian.

Ariel Jungheit, peneliti keamanan senior untuk Tim Penelitian dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan.

Selengkapnya: Threat Post

Perampokan Lazarus: Bagaimana Korea Utara hampir melakukan peretasan bernilai miliaran dolar

June 21, 2021 by Winnie the Pooh

Pada tahun 2016, peretas Korea Utara merencanakan serangan senilai $1 miliar di bank nasional Bangladesh dan berhasil mencapai satu inci – hanya secara kebetulan saja, semua transfer kecuali $81 juta dihentikan, lapor Geoff White dan Jean H Lee. Tapi bagaimana salah satu negara termiskin dan paling terisolasi di dunia melatih tim penjahat cyber elit?

Semuanya dimulai dengan printer yang tidak berfungsi. Itu hanya bagian dari kehidupan modern, dan ketika itu terjadi pada staf di Bank Bangladesh, mereka memikirkan hal yang sama yang kebanyakan dari kita lakukan. Itu tidak tampak seperti masalah besar.

Tapi ini bukan sembarang printer, dan bukan sembarang bank.

Bangladesh Bank adalah bank sentral negara itu, yang bertanggung jawab untuk mengawasi cadangan mata uang yang berharga dari sebuah negara di mana jutaan orang hidup dalam kemiskinan.

Dan printer memainkan peran penting. Itu terletak di dalam ruangan yang sangat aman di lantai 10 kantor utama bank di Dhaka, ibukota. Tugasnya adalah mencetak catatan transfer jutaan dolar yang mengalir masuk dan keluar dari bank.

Ketika staf menemukan itu tidak berfungsi, pada pukul 08:45 pada hari Jumat 5 Februari 2016, “kami menganggap itu adalah masalah umum seperti hari-hari lainnya,” manajer tugas Zubair Bin Huda kemudian mengatakan kepada polisi. “Glitches seperti itu pernah terjadi sebelumnya.”

Sebenarnya, ini adalah indikasi pertama bahwa Bank Bangladesh berada dalam banyak masalah. Peretas telah membobol jaringan komputernya, dan pada saat itu juga sedang melakukan serangan cyber paling berani yang pernah dicoba. Tujuan mereka: untuk mencuri satu miliar dolar.

Untuk menghilangkan uang itu, geng di belakang pencurian akan menggunakan rekening bank palsu, badan amal, kasino, dan jaringan kaki tangan yang luas.

Tapi siapa peretas ini dan dari mana asalnya?

Menurut para penyelidik, sidik jari digital hanya mengarah ke satu arah: ke pemerintah Korea Utara.

Selengkapnya: BBC

Lazarus Group Menggunakan Taktik Baru untuk Menghindari Deteksi

April 20, 2021 by Winnie the Pooh

Peneliti keamanan dengan Malwarebytes telah mengamati aktor ancaman persisten tingkat lanjut yang berafiliasi dengan Korea Utara, Lazarus Group, menggunakan teknik baru untuk mengirimkan malware sambil menghindari alat keamanan.

Lazarus dikenal karena mengembangkan keluarga malware khusus dan menggunakan taktik baru. Salah satu metode terbarunya melibatkan penyematan file Aplikasi HTML (HTA) berbahaya dalam file zlib terkompresi, dalam file PNG.

Selama waktu proses, file PNG diubah menjadi format file BMP. Karena file BMP tidak dikompresi, mengubah dari PNG ke BMP secara otomatis mendekompresi objek zlib berbahaya. Peneliti menyebut ini cara cerdas untuk menghindari deteksi. Karena objek berbahaya dikompresi di dalam gambar PNG, ini melewati deteksi statis.

Serangan ini kemungkinan besar dimulai dengan kampanye phishing yang mengirimkan email dengan file berbahaya yang dilampirkan. Saat dibuka, file meminta penampilnya untuk mengaktifkan makro.

Melakukan ini akan menghasilkan kotak pesan; mengeklik ini akan memuat umpan phishing terakhir – formulir partisipasi untuk pameran di kota di Korea Selatan. Dokumen dipersenjatai dengan makro yang dijalankan saat dibuka.

Baca postingan blog lengkap untuk informasi lebih lanjut.

Selengkapnya: Dark Reading

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

April 9, 2021 by Winnie the Pooh

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Lazarus

Cookies Settings