Peneliti Korea Selatan melihat aktivitas baru dari kelompok peretasan Kimsuky, yang melibatkan alat akses jarak jauh sumber terbuka komoditas yang dijatuhkan dengan pintu belakang khusus mereka, Gold dragon.
Grup ini telah menunjukkan keserbagunaan operasional yang mengesankan dan pluralisme aktivitas ancaman, terlibat dalam distribusi malware, phishing, pengumpulan data, dan bahkan pencurian cryptocurrency.
Analis di ASEC (AhnLab), Kimsuky menggunakan xRAT dalam serangan yang ditargetkan terhadap entitas Korea Selatan. Kampanye dimulai pada 24 Januari 2022, dan masih berlangsung.
xRAT adalah akses jarak jauh sumber terbuka dan alat administrasi yang tersedia secara gratis di GitHub. Malware ini menyediakan berbagai fitur seperti keylogging, remote shell, tindakan pengelola file, proxy HTTPS terbalik, komunikasi AES-128, dan rekayasa sosial otomatis.
Pelaku ancaman yang canggih dapat memilih untuk menggunakan RAT komoditas karena, untuk operasi pengintaian dasar, alat ini sangat memadai dan tidak memerlukan banyak konfigurasi.
Hal ini memungkinkan pelaku ancaman untuk memfokuskan sumber daya mereka pada pengembangan malware tahap selanjutnya yang memerlukan fungsionalitas lebih khusus tergantung pada alat/praktik pertahanan yang ada pada target.
Selain itu, RAT komoditas berbaur dengan aktivitas dari spektrum pelaku ancaman yang luas, sehingga mempersulit analis untuk mengaitkan aktivitas jahat dengan kelompok tertentu.
Pintu belakang Gold Dragon
Gold Dragon adalah backdoor tahap kedua yang biasanya disebarkan Kimsuky setelah serangan tahap pertama berbasis PowerShell tanpa file yang memanfaatkan steganografi.
Namun, seperti yang dijelaskan ASEC dalam laporannya, varian yang mereka temukan dalam kampanye terbaru ini memiliki fungsi tambahan seperti eksfiltrasi informasi sistem dasar.
Malware tidak lagi menggunakan proses sistem untuk fungsi ini, tetapi menginstal alat xRAT untuk mencuri informasi yang diperlukan secara manual.
RAT berada di bawah penyamaran yang dapat dieksekusi bernama cp1093.exe, yang menyalin proses PowerShell normal (powershell_ise.exe) ke jalur “C:\ProgramData\” dan dijalankan melalui proses lekukan.
Pada aspek operasional Naga Emas, ia terus menggunakan metode pengosongan proses yang sama pada iexplore.exe dan svchost.exe, dan masih mencoba untuk menonaktifkan fitur deteksi waktu nyata di produk AhnLab AV.
Selanjutnya, penginstal menambahkan kunci registri baru untuk membuat persistensi startup untuk muatan malware (glu32.dll).
Sumber: ASEC
Akhirnya, Kimsuky menjatuhkan uninstaller (UnInstall_kr5829.co.in.exe) yang dapat menghapus jejak kompromi jika dan saat dibutuhkan.
Source: ASEC
AhnLab menyarankan agar pengguna tidak membuka lampiran pada email dari sumber yang tidak dikenal, karena ini tetap menjadi saluran utama distribusi malware untuk Kimsuky.
Sumber : Bleeping Computer
