Kampanye Malware Stark#Mule Menargetkan Orang Korea, Menggunakan Dokumen Angkatan Darat AS

Kampanye malware berbahasa Korea yang dikenal sebagai Stark#Mule menargetkan korban menggunakan dokumen perekrutan militer AS sebagai umpan, kemudian menjalankan malware yang dipentaskan dari situs web e-commerce Korea yang sah tetapi telah disusupi.

Perusahaan keamanan Securonix menemukan kampanye serangan Stark#Mule, yang katanya memungkinkan pelaku ancaman menyamarkan diri di tengah lalu lintas situs web normal.

Kampanye tersebut tampaknya menargetkan korban berbahasa Korea di Korea Selatan, menunjukkan kemungkinan serangan berasal dari negara tetangga Korea Utara.

Salah satu taktik yang digunakan adalah mengirimkan email phishing yang ditargetkan yang ditulis dalam bahasa Korea, yang memasukkan dokumen yang tampak sah dalam arsip zip dengan referensi perekrutan Angkatan Darat AS dan Urusan Tenaga Kerja & Cadangan sumber daya yang termasuk dalam dokumen.

Penyerang telah menyiapkan sistem kompleks yang memungkinkan mereka untuk melewati pengunjung situs web yang sah, sehingga sulit untuk mendeteksi ketika mereka mengirimkan malware dan mengambil alih mesin korban.

Mereka juga menggunakan materi penipuan yang dimaksudkan untuk menawarkan informasi tentang perekrutan Angkatan Darat dan militer AS, seperti halnya honeypots.

Dengan mengelabui penerima agar membuka dokumen, virus secara tidak sengaja dijalankan. Tahap terakhir melibatkan infeksi sulit yang berkomunikasi melalui HTTP dan menyematkan dirinya ke komputer korban, membuatnya sulit untuk ditemukan dan dihapus.

“Tampaknya mereka menargetkan kelompok tertentu, yang mengisyaratkan bahwa upaya tersebut mungkin terkait dengan Korea Utara, dengan penekanan pada korban berbahasa Korea,” kata Zac Warren, kepala penasihat keamanan, EMEA, di Tanium. “Ini meningkatkan kemungkinan serangan siber atau spionase yang disponsori negara.”

Stark#Mule juga mungkin telah menyentuh kemungkinan zero-day atau setidaknya varian dari kerentanan Microsoft Office yang diketahui, memungkinkan pelaku ancaman mendapatkan pijakan pada sistem yang ditargetkan hanya dengan meminta pengguna yang ditargetkan membuka lampiran.

Oleg Kolesnikov, wakil presiden riset ancaman, keamanan siber untuk Securonix, mengatakan berdasarkan pengalaman sebelumnya dan beberapa indikator terkini yang dia lihat, ada peluang bagus bahwa ancaman tersebut berasal dari Korea Utara.

“Namun, pekerjaan pada atribusi akhir masih dalam proses,” katanya. “Salah satu hal yang membuatnya menonjol adalah upaya untuk menggunakan dokumen terkait militer AS untuk memikat korban serta menjalankan malware yang dipentaskan dari situs web Korea yang sah dan telah disusupi.”

Dia menambahkan bahwa penilaian Securonix tentang tingkat kecanggihan rantai serangan sedang dan mencatat bahwa serangan ini sejalan dengan aktivitas masa lalu dari kelompok khas Korea Utara seperti APT37, dengan Korea Selatan dan pejabat pemerintahnya sebagai target utama.

“Metode penyebaran malware awal relatif sepele,” katanya. “Muatan berikutnya yang diamati tampaknya cukup unik dan relatif tersamarkan dengan baik.”

Warren mengatakan karena metodologinya yang canggih, strategi yang licik, penargetan yang tepat, dugaan keterlibatan negara, dan kegigihan virus yang sulit, Stark#Mule “sangat signifikan”.

Sukses Melalui Rekayasa Sosial

Mayuresh Dani, manajer penelitian ancaman di Qualys, menunjukkan bahwa melewati kontrol sistem, penghindaran dengan berbaur dengan lalu lintas e-niaga yang sah, dan mendapatkan kendali penuh pada target yang ditentukan, sambil tetap tidak terdeteksi, semuanya membuat ancaman ini patut diperhatikan. 

“Rekayasa sosial selalu menjadi target termudah dalam rantai serangan. Ketika Anda menggabungkan persaingan politik yang mengarah ke rasa ingin tahu, Anda memiliki resep sempurna untuk kompromi, ”katanya.

Mike Parkin, insinyur teknis senior di Vulcan Cyber, setuju bahwa serangan rekayasa sosial yang sukses membutuhkan pengait yang baik.

“Di sini, tampaknya pelaku ancaman telah berhasil menciptakan subjek yang cukup menarik bagi sasarannya untuk dipancing,” katanya. “Ini menunjukkan pengetahuan penyerang tentang target mereka, dan apa yang mungkin menarik minat mereka.”

Dia menambahkan Korea Utara adalah salah satu dari beberapa negara yang diketahui mengaburkan batas antara perang dunia maya, spionase dunia maya, dan aktivitas kejahatan dunia maya.

“Mengingat situasi geopolitik, serangan seperti ini adalah salah satu cara mereka dapat melancarkan agenda politik mereka tanpa risiko serius yang meningkat menjadi peperangan yang sebenarnya,” kata Parkin. 

Cyberwar Merajalela di Negara yang Terbagi

Korea Utara dan Korea Selatan secara historis telah berselisih sejak pemisahan mereka — setiap informasi yang memberikan keunggulan kepada pihak lain selalu diterima.

Saat ini, Korea Utara meningkatkan serangan di dunia fisik dengan menguji rudal balistik, dan juga mencoba melakukan hal yang sama. di dunia digital.

“Dengan demikian, meskipun asal serangan relevan, upaya keamanan siber harus fokus pada deteksi ancaman secara keseluruhan, kesiapan respons, dan penerapan praktik terbaik untuk melindungi dari berbagai potensi ancaman, terlepas dari sumbernya,” kata Dani. 

Menurutnya, militer AS akan berkolaborasi dengan negara mitranya, termasuk lembaga pemerintah lainnya, sekutu internasional, dan organisasi sektor swasta, untuk berbagi intelijen ancaman terkait Stark#Mule dan kemungkinan tindakan remediasi.

“Pendekatan kolaboratif ini akan memperkuat upaya keamanan siber secara keseluruhan dan sangat penting untuk membina kerja sama internasional dalam keamanan siber,” catatnya. “TI memungkinkan negara dan organisasi lain untuk meningkatkan pertahanan mereka dan bersiap menghadapi serangan potensial, yang mengarah ke respons global yang lebih terkoordinasi terhadap ancaman dunia maya.”

Kelompok Lazarus Advanced Persistant Threat (APT) yang disponsori negara Korea Utara kembali bersama satu lagi penipuan peniruan identitas, kali ini menyamar sebagai pengembang atau perekrut dengan akun GitHub atau media sosial yang sah.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents