Malware Baru Lazarus

December, 22 2023 09:35
Internet
Malware Baru Lazarus

Kelompok peretas terkenal Korea Utara yang dikenal sebagai Lazarus terus mengeksploitasi CVE-2021-44228, alias “Log4Shell” untuk menyebarkan tiga keluarga malware yang sebelumnya tidak terlihat. Malware baru Lazarus.

Malware baru tersebut adalah dua trojan akses jarak jauh (RAT) yakni:

  • NineRAT
  • DLRAT
  • Pengunduh malware bernama BottomLoader.

Bahasa pemrograman D jarang terlihat dalam operasi kejahatan dunia maya, jadi Lazarus mungkin memilihnya untuk pengembangan malware baru agar tidak terdeteksi.

Operasi tersebut, yang diberi nama sandi “Operation Blacksmith”, dimulai sekitar bulan Maret 2023 dan menargetkan perusahaan manufaktur, pertanian, dan keamanan fisik di seluruh dunia.

Operation Blacksmith mewakili perubahan penting dalam taktik dan alat yang digunakan oleh Lazarus, yang juga merupakan demonstrasi taktik kelompok ancaman yang terus berubah.

Baca juga: Privasi dan Data Pribadi

Malware Baru Lazarus

NineRAT

Malware pertama, NineRAT, adalah yang pertama dari dua RAT baru milik Lazarus. Ia menggunakan API Telegram untuk komunikasi command and control (C2), termasuk menerima perintah dan mengekstraksi file dari komputer yang dibobol.

NineRAT dilengkapi dengan dropper, yang juga bertanggung jawab untuk membangun persistensi dan meluncurkan biner utama.

Malware ini mendukung perintah berikut, yang diterima melalui Telegram:

  • info – Mengumpulkan informasi awal tentang sistem yang terinfeksi.

  • setmtoken – Tetapkan nilai token.

  • setbtoken – Tetapkan token Bot baru.

  • setinterval – Atur interval waktu antara polling malware ke saluran Telegram.

  • setleep – Tetapkan jangka waktu malware harus tidur/tidak aktif.

  • upgrade – Tingkatkan ke versi implan yang baru.

  • exit – Keluar dari eksekusi malware.

  • uninstall – Hapus instalan mandiri dari titik akhir.

  • sendfile – Mengirim file ke server C2 dari titik akhir yang terinfeksi.

Baca juga: 7 Risiko Internet Bagi Anak-anak

DLRAT

Malware kedua, DLRAT, adalah trojan dan pengunduh yang dapat digunakan Lazarus untuk memasukkan muatan tambahan pada sistem yang terinfeksi.

Aktivitas pertama DLRAT pada perangkat adalah menjalankan perintah hard-code untuk mengumpulkan informasi sistem awal seperti detail OS, alamat MAC jaringan, dll., dan mengirimkannya ke server C2.

Server penyerang membalas dengan alamat IP eksternal korban dan salah satu perintah berikut untuk eksekusi lokal oleh malware:

deleteme – Hapus malware dari sistem menggunakan file BAT

download – Mengunduh file dari lokasi jarak jauh tertentu

rename – Mengganti nama file pada sistem yang terinfeksi

iamsleep – Perintahkan malware untuk memasuki keadaan tidak aktif selama jangka waktu tertentu

unggah – Unggah file ke server C2

showurls – Belum diterapkan

BottomLoader

BottomLoader adalah pengunduh malware yang mengambil dan mengeksekusi payload dari URL hardcode menggunakan PowerShell sekaligus membangun persistensi dari URL tersebut dengan memodifikasi direktori Startup.

Selain itu, BottomLoader menawarkan Lazarus kapasitas untuk mengeksfiltrasi file dari sistem yang terinfeksi ke server C2, memberikan beberapa fleksibilitas operasional.

Baca juga: Satu Login untuk Semuanya

Serangan Log4Shell

Serangan yang diamati melibatkan pemanfaatan Log4Shell, kelemahan eksekusi kode jarak jauh yang penting di Log4j, yang ditemukan dan diperbaiki sekitar dua tahun lalu namun masih menjadi masalah keamanan.

Sasarannya adalah server VMWare Horizon yang secara publik menggunakan versi perpustakaan logging Log4j yang rentan, sehingga memungkinkan penyerang melakukan eksekusi kode jarak jauh.

Setelah kompromi tersebut, Lazarus menyiapkan alat proxy untuk akses persisten pada server yang dibobol, menjalankan perintah pengintaian, membuat akun admin baru, dan menyebarkan alat pencuri kredensial seperti ProcDump dan MimiKatz.

Pada serangan fase kedua, Lazarus menyebarkan NineRAT pada sistem, yang mendukung berbagai perintah, seperti yang disoroti di bagian sebelumnya.

Cisco menyimpulkan bahwa ada kemungkinan Lazarus memberi makan kelompok atau cluster APT (ancaman persisten tingkat lanjut) lainnya di bawah payungnya dengan data yang dikumpulkan oleh NineRAT.

Asumsi ini didasarkan pada fakta bahwa NineRAT melakukan “re-fingerprinting” sistem dalam beberapa kasus, yang menyiratkan bahwa NineRAT dapat melakukan pengidentifikasian sistem dan pengumpulan data untuk banyak aktor.

 

 

Baca artikel lainnya:

 

 

Sumber berita:

 

Prosperita IT News

Digitalmaniagrup hacker korutgrup hacker lazarusinternetlazarusmalware baru lazarusperetas korea utara

Related Posts

April, 05 2024 11:36 Malware Disembunyikan Dalam Gambar
May, 08 2024 15:54 Social Engineering, Phising dan Psikologi
May, 06 2024 11:55 Lima Tren Serangan Perusahaan
April, 22 2024 11:48 Tren Ancaman Keamanan Teknologi Informasi
March, 28 2024 11:17 Manipulasi Digital Document Publishing
April, 15 2024 14:37 Mitigasi Serangan Phising
April, 24 2024 10:35 Penipuan Pinjaman Online
April, 01 2024 11:34 Anak Aman Berinternet dengan Komunikasi
March, 27 2024 11:18 Aplikasi Palsu Penguras Dompet
April, 25 2024 11:44 Penipuan Peniruan Identitas
April, 26 2024 16:48 Klasifikasi Jenis Ancaman Uang Digital
April, 02 2024 11:40 Darcula Memakan Korban 100 Negara
April, 16 2024 11:26 Perlukah Menggunakan Kata Sandi
May, 07 2024 12:46 Malware Zero Click Pencuri Data Clouds
April, 04 2024 10:57 Serangan SMS di Android
May, 02 2024 11:39 Teknik Phising Paling Berbahaya
May, 03 2024 16:58 Mitigasi Spionase Perusahaan
April, 29 2024 11:49 Pengaruh Iklan Internet Terhadap Perilaku Anak
April, 03 2024 11:04 Insiden Siber Paling Mematikan Di Dunia
April, 17 2024 13:48 Kenapa Penjahat Siber Menargetkan Informasi Pribad...