Kampanye Korea Utara yang Menargetkan Peneliti Keamanan

 (blog.google)
2 poin oleh GN⁺ 2023-09-08 | 1 komentar | Bagikan ke WhatsApp
  • Threat Analysis Group (TAG) milik Google melaporkan kampanye berkelanjutan oleh aktor yang didukung pemerintah Korea Utara yang menargetkan para peneliti keamanan.
  • Kampanye ini pertama kali diungkap pada Januari 2021 dan memanfaatkan kerentanan 0-day untuk menargetkan peneliti yang bekerja di bidang riset dan pengembangan kerentanan.
  • TAG telah melacak dan mengganggu kampanye semacam ini selama lebih dari dua tahun, sekaligus menemukan 0-day untuk melindungi pengguna online.
  • Baru-baru ini, TAG mengidentifikasi kampanye baru dari aktor yang sama berdasarkan kemiripannya dengan kampanye sebelumnya.
  • Setidaknya satu 0-day yang aktif telah digunakan dalam beberapa minggu terakhir untuk menargetkan peneliti keamanan. Kerentanan ini telah dilaporkan kepada vendor yang terdampak dan saat ini sedang ditambal.
  • Aktor ancaman Korea Utara menggunakan situs media sosial untuk membangun hubungan dengan target, sering kali terlibat dalam percakapan panjang dan mencoba berkolaborasi pada minat bersama.
  • Setelah menjalin hubungan dengan peneliti target, aktor ancaman mengirim file berbahaya yang berisi setidaknya satu 0-day dalam paket perangkat lunak populer.
  • Setelah eksploitasi berhasil, shellcode melakukan pemeriksaan mesin virtual lalu mengirim informasi yang dikumpulkan dan tangkapan layar ke domain command-and-control yang dikendalikan penyerang.
  • Selain menargetkan peneliti dengan memanfaatkan kerentanan 0-day, aktor ancaman juga mengembangkan alat Windows mandiri yang tampak berguna untuk mengunduh informasi simbol, tetapi juga memiliki kemampuan untuk mengunduh dan menjalankan kode arbitrer dari domain yang dikendalikan penyerang.
  • TAG merekomendasikan agar siapa pun yang telah mengunduh atau menjalankan alat ini mengambil langkah pencegahan untuk memastikan sistem berada dalam kondisi bersih yang diketahui, yang kemungkinan memerlukan instal ulang sistem operasi.
  • TAG menggunakan hasil risetnya untuk meningkatkan keselamatan dan keamanan produk Google, serta menambahkan semua situs web dan domain yang teridentifikasi ke Safe Browsing agar pengguna tidak lagi dieksploitasi.
  • TAG mengirim peringatan penyerang yang didukung pemerintah kepada pengguna Gmail dan Workspace, serta merekomendasikan calon target untuk mengaktifkan Enhanced Safe Browsing di Chrome dan memperbarui semua perangkat.
  • TAG berkomitmen untuk membagikan hasil risetnya kepada komunitas keamanan guna meningkatkan kesadaran dan pemahaman atas strategi serta teknik yang digunakan, yang berkontribusi pada penguatan perlindungan pengguna di seluruh industri.

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-08
Komentar Hacker News
  • Alat berbahaya di Github, getsymbol, telah menerima 214 bintang, tetapi tidak memiliki banner peringatan. Ada usulan agar Github menambahkan peringatan untuk perangkat lunak lain dengan backdoor yang diketahui seperti ini.
  • Muncul pertanyaan tentang bagaimana orang Korea Utara menghindari paparan media yang bertentangan dengan media negara mereka, meskipun mereka memiliki akses internet tanpa batas dan pemahaman bahasa Inggris.
  • Diungkapkan kekhawatiran tentang legitimasi situs unduhan populer seperti ffmpeg windows binaries dan kemungkinan aktor negara memanfaatkan unduhan yang di-hosting secara tidak resmi.
  • Penggunaan 0days terhadap peneliti keamanan oleh Korea Utara tampak seperti uji coba, dengan potensi keuntungan lebih lanjut berupa memperoleh lebih banyak 0days dari peneliti yang menjadi target.
  • Muncul spekulasi bahwa pembaruan keamanan macOS terbaru terkait dengan kerentanan yang sedang dibahas.
  • Muncul keraguan apakah peneliti keamanan akan menjalankan biner Windows yang diterima dari sumber tidak dikenal, dan diajukan usulan bahwa mereka lebih mungkin memeriksa biner tersebut di lingkungan yang lebih aman.
  • Muncul pertanyaan tentang bagaimana ditentukan bahwa ancaman tersebut berasal dari Korea Utara.
  • Ada klaim bahwa situs web dbgsymbol.com tidak ditandai dengan peringatan di Safe Browsing milik Brave browser, meskipun semua situs web dan domain yang telah diverifikasi disebut ditambahkan ke Safe Browsing.
  • Seorang mantan petugas intelijen memperingatkan agar tidak meremehkan kemampuan teknis Korea Utara atau kemampuan mereka merekrut orang-orang cerdas dan pekerja keras.
  • Disarankan agar orang yang bekerja dalam peran keamanan menghindari mencantumkan jabatannya sebagai keamanan di LinkedIn.