Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.
Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.
Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.
Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.
Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.
“Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.
“Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”
Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.
Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.
MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.
Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.
Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.
“Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.
Sumber:
