Rekruter palsu memancing karyawan dirgantara dengan coding challenge yang ditrojanisasi

 (welivesecurity.com)
1 poin oleh GN⁺ 2023-10-02 | 1 komentar | Bagikan ke WhatsApp
  • Peneliti ESET menemukan serangan Lazarus yang menargetkan sebuah perusahaan dirgantara Spanyol, dan menyebarkan backdoor yang sebelumnya belum diketahui bernama LightlessCan.
  • Grup Lazarus memperoleh akses awal melalui kampanye spear phishing yang berhasil dengan menyamar sebagai perekrut Meta.
  • Korban dihubungi melalui pesan LinkedIn dan menerima dua tantangan coding yang kemudian diunduh dan dijalankan di perangkat perusahaan.
  • Serangan ini terungkap melalui kerja sama dengan perusahaan dirgantara yang terdampak.
  • Para penyerang menggunakan berbagai alat, termasuk tiga jenis payload yang dikirim melalui DLL sideloading.
  • Payload yang paling menonjol, backdoor LightlessCan, menerapkan teknik untuk menghindari deteksi oleh perangkat lunak pemantauan keamanan waktu nyata dan analisis oleh pakar keamanan siber.
  • Grup Lazarus yang terkait dengan Korea Utara dan aktif sejak 2009 bertanggung jawab atas insiden besar seperti peretasan Sony Pictures Entertainment dan wabah WannaCryptor.
  • Serangan di Spanyol dikaitkan dengan Operation DreamJob milik grup Lazarus, yang bertujuan melakukan spionase siber terhadap perusahaan pertahanan dan dirgantara.
  • Grup Lazarus menggunakan pagar pembatas eksekusi agar payload hanya dapat didekripsi pada mesin korban yang dituju.
  • Payload baru LightlessCan adalah alat yang kompleks, menunjukkan tingkat kecanggihan yang tinggi dalam desain dan operasionalnya.
  • Artikel tersebut membahas situs web sah yang terdampak dan digunakan untuk menampung server command-and-control (C&C), termasuk Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com, dan Korea Telecom.
  • Artikel tersebut menyediakan daftar terperinci teknik MITRE ATT&CK yang digunakan para penyerang.
  • Para penyerang menggunakan LinkedIn untuk mengidentifikasi dan menghubungi karyawan tertentu, serta membuat identitas LinkedIn palsu dengan menyamar sebagai headhunter Meta.
  • Artikel tersebut merujuk pada beberapa sumber untuk memberikan gambaran menyeluruh tentang kampanye spionase siber tersebut.
  • Dengan menyajikan analisis mendetail tentang teknik yang digunakan penyerang dan situs web terkait, artikel ini sangat relevan bagi pembaca yang paham teknologi dan tertarik pada keamanan siber.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-02
Komentar Hacker News
  • Artikel tentang metode peretasan yang cerdik, di mana peretas menyamar sebagai perekrut dan mengirimkan soal coding yang sudah disusupi trojan kepada karyawan industri dirgantara.
  • Peretas memperoleh akses melalui tes leetcode take-home yang biasanya diabaikan oleh sistem peringatan Apple.
  • Peretas menargetkan individu yang kemungkinan memiliki akses tingkat tinggi ke informasi perusahaan.
  • Sebagian orang menggunakan sumber daya perusahaan untuk aktivitas mencari kerja, dan hal ini dapat menyebabkan pelanggaran keamanan semacam ini.
  • Peretas mengirim file .exe kepada korban, yang seharusnya menjadi tanda bahaya yang jelas akan kemungkinan serangan.
  • Sebagian orang sengaja tidak mengunggah resume mereka ke internet untuk menghindari insiden keamanan seperti ini.
  • Ada kritik terhadap orang yang menggunakan perangkat perusahaan untuk urusan pribadi, karena ini meningkatkan risiko pelanggaran keamanan.
  • Ada spekulasi tentang bagaimana kelompok peretas Korea Utara Lazarus/HIDDEN COBRA bisa begitu canggih meskipun akses internet warga Korea Utara sangat terbatas.
  • Insiden ini menjadi pemicu bagi sebagian orang untuk mulai melihat sistem operasi yang lebih aman seperti qubes-os.
  • Peretas mengirim soal coding yang sederhana, yang seharusnya menjadi tanda peringatan karena kebanyakan perusahaan memulai dengan soal tingkat menengah atau sulit.
  • Ada anekdot tentang insiden peretasan serupa, seperti laptop yang diretas melalui Wi-Fi gratis.