Cyberthreat.id – Situs berita NK News mengungkapkan bahwa peretas yang disponsori negara Korea Utara atau APT37 menargetkan jurnalis dengan malware baru.

NK News merupakan sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara. Dalam tulisannya, mereka menggunakan intelijen dari dalam negeri.

Seperti dilansir Bleeping Computer, NK News mengatakan para peretas yang melihat berita-beritanya sebagai operasi permusuhan, telah berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Setelah NK News menemukan serangan itu, mereka menghubungi pakar malware di Stairwell untuk bantuan lebih lanjut untuk analisis teknis. Stairwell menemukan sampel malware baru bernama "Goldbackdoor," yang dinilai sebagai penerus "Bluelight."

Sebagai informasi, ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis. Sebelumnya, pada November 2021 serangan menggunakan pintu belakang “Chinotto” yang dapat dimodifikasi.

Email phishing tersebut ditemukan pada akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya diretas oleh APT37,” tulis NK News.

Kampanye bertarget ini  menggunakan proses infeksi dua tahap yang memberi para aktor ancaman lebih banyak keserbagunaan penyebaran dan mempersulit analis untuk mengambil sampel muatan. Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama 'editan Kang Min-chol'. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

Sementara itu, file LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB. Ini menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang. Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

“Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV,” terang laporan tersebut.

Payload ini disebut "Fantasy," dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi. Kemudian, Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive. Dengan file yang ditargetkan oleh Goldbackdoor seperti dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

“Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan,” tutup NK News. []

Editor: YAS