Peretas Korea Utara Memperluas Serangan Siber Global Menggunakan Alat Blockchain

TLDR

• Peretas Korea Utara memanfaatkan teknologi blockchain untuk mengembangkan sistem komando terdesentralisasi.
• Tawaran pekerjaan palsu adalah taktik umum untuk serangan siber Korea Utara.
• Malware seperti BeaverTail dan OtterCookie digunakan untuk pencurian kredensial.
• Malware EtherHiding menyembunyikan payload di blockchain publik untuk kerahasiaan.

Peretas terkait Korea Utara meningkatkan serangan siber global mereka menggunakan alat malware terdesentralisasi dan menghindar baru, menurut laporan terbaru dari Cisco Talos dan Grup Intelijen Ancaman Google (GTIG). Kampanye ini menargetkan individu dan perusahaan melalui skema rekrutmen pekerjaan palsu, bertujuan untuk mencuri cryptocurrency, mengakses jaringan, dan menghindari deteksi. Para peneliti memperingatkan bahwa penggunaan sistem komando berbasis blockchain membuat operasi ini lebih sulit untuk diganggu.

Memperluas Operasi Siber Menggunakan Malware Canggih

Cisco Talos telah mengidentifikasi kelompok ancaman Korea Utara yang dikenal sebagai Famous Chollima, yang terus mengembangkan taktik dan alat mereka. Kelompok ini telah diamati menggunakan dua keluarga malware terkait bernama BeaverTail dan OtterCookie, keduanya dikembangkan untuk mencuri kredensial dan mengumpulkan data sensitif. Varian yang diperbarui ini sekarang berbagi fungsi yang meningkatkan komunikasi dan efisiensi selama serangan.

Dalam satu kasus yang diselidiki oleh Cisco Talos, sebuah organisasi Sri Lanka secara tidak langsung terpengaruh ketika pencari kerja ditipu untuk menginstal program berbahaya sebagai bagian dari tes teknis palsu. Malware tersebut termasuk modul untuk merekam ketukan tombol dan mengambil tangkapan layar. Informasi yang dikumpulkan kemudian dikirim ke server jarak jauh yang dikendalikan oleh penyerang. Peneliti mengatakan bahwa metode ini menunjukkan bagaimana individu dapat dikompromikan bahkan ketika organisasi bukan target langsung.

Blockchain sebagai Sistem Komando Terdesentralisasi

Grup Intelijen Ancaman Google melaporkan bahwa aktor terkait Korea Utara, yang dikenal sebagai UNC5342, telah menerapkan malware baru yang disebut EtherHiding. Malware ini menyembunyikan payload JavaScript berbahaya di blockchain publik. Dengan menggunakan pendekatan ini, penyerang membangun sistem komando dan kontrol (C2) terdesentralisasi yang sulit dihapus oleh otoritas.

Menurut GTIG, EtherHiding memungkinkan penyerang untuk memodifikasi perilaku malware dari jarak jauh tanpa mengandalkan server tradisional. Teknik ini mengurangi kemungkinan gangguan karena data blockchain tidak dapat dengan mudah dihapus. Peneliti Google menghubungkan operasi ini dengan kampanye yang lebih luas bernama Contagious Interview, di mana tawaran pekerjaan palsu digunakan untuk menginfeksi korban. Temuan ini mengungkapkan bahwa kelompok Korea Utara mengintegrasikan teknologi terdesentralisasi untuk mempertahankan persistensi di berbagai operasi.

Kampanye Rekrutmen Palsu sebagai Titik Masuk Utama

Baik Cisco dan Google mengamati bahwa operasi siber ini sering dimulai dengan posting pekerjaan palsu yang ditujukan pada profesional di industri cryptocurrency dan keamanan siber. Korban dihubungi dengan tawaran wawancara yang diduga dan diminta untuk menyelesaikan penilaian palsu yang mencakup file yang disematkan dengan malware.

Infeksi melibatkan campuran keluarga malware seperti JadeSnow, BeaverTail, dan InvisibleFerret, yang bersama-sama memungkinkan penyerang untuk mencuri kredensial, menerapkan ransomware, dan mendapatkan akses lebih dalam ke sistem. Peneliti percaya kampanye tersebut mencari keuntungan finansial dan akses jangka panjang ke lingkungan perusahaan untuk spionase dan eksploitasi di masa depan.

Tindakan Defensif dan Ancaman Berkelanjutan

Cisco Talos dan Google telah merilis indikator kompromi (IOCs) untuk membantu organisasi mendeteksi aktivitas berbahaya terkait. Indikator ini mencakup penanda teknis yang dapat digunakan tim keamanan untuk memantau dan memblokir perilaku mencurigakan yang terkait dengan kampanye ini.

Analis mengatakan bahwa kombinasi rekayasa sosial dan alat berbasis blockchain menciptakan tantangan baru untuk pertahanan keamanan siber. Karena blockchain publik tidak dapat dengan mudah dikendalikan atau dimatikan, mereka menjadi infrastruktur pilihan bagi aktor ancaman yang berusaha mempertahankan akses dan menyembunyikan operasi mereka.

Peneliti dari kedua perusahaan terus melacak kampanye ini dan berbagi temuan dengan komunitas keamanan siber global. Mereka merekomendasikan agar organisasi memverifikasi tawaran pekerjaan dengan hati-hati, membatasi unduhan file selama proses perekrutan, dan memperbarui sistem pemantauan untuk mendeteksi keluarga malware yang berkembang seperti BeaverTail, OtterCookie, dan EtherHiding.

Postingan Peretas Korea Utara Memperluas Serangan Siber Global Menggunakan Alat Blockchain pertama kali muncul di CoinCentral.