Cyberthreat.id – Peneliti keamanan di Malwarebytes Hossein Jazi, mengungkapkan kelompok peretas yang disponsori Korea Utara, Lazarus menyamar sebagai Coinbase untuk menargetkan karyawan di industri fintech.

Dikutip dari Bleeping Computer, taktik umum yang digunakan adalah mendekati target melalui LinkedIn untuk memberikan tawaran pekerjaan dan mengadakan diskusi awal sebagai bagian dari serangan rekayasa sosial (social engineering). Mereka berpura-pura mencari kandidat yang cocok untuk peran "Manajer Teknik, Keamanan Produk" melalui Coinbase.

Coinbase merupakan salah satu platform pertukaran mata uang kripto terbesar di dunia. Platform ini memungkinkan Lazarus untuk mendapatkan tawaran pekerjaan yang menggiurkan dan menggiurkan di sebuah organisasi bergengsi.

Jazi menjelaskan, setelah menargetkan korbannya, operator Lazarus akan mengirimkan pesan berisi file PDF bernama "Coinbase_online_careers_2022_07.exe” dengan informasi terkait posisi pekerjaan. Namun file tersebut memuat executable berbahaya menggunakan ikon PDF. Ketika korban mengunduh file tersebut, malware akan menggunakan GitHub sebagai server perintah dan kontrol untuk menerima perintah untuk dijalankan pada perangkat yang terinfeksi.

“Rantai serangan ini mirip dengan yang didokumentasikan oleh Malwarebytes dalam posting blog di awal tahun ini,” kata Jazi.

Jazi mengatakan, Lazarus mengikuti taktik dan metode serupa untuk menginfeksi target mereka dengan malware, dan kampanye phishing individual menampilkan infrastruktur yang tumpang tindih. Kampanye lain yang dilakukan oleh Lazarus di masa lalu menggunakan tawaran pekerjaan palsu adalah untuk General Dynamics dan Lockheed Martin.

Sebagai informasi, Lazarus dikenal karena meluncurkan serangan bermotivasi finansial terhadap bank, pertukaran mata uang kripto, pasar NFT, dan investor individu dengan kepemilikan signifikan.

Awal tahun ini, badan intelijen A.S. memperingatkan tentang Lazarus yang menyebarkan dompet cryptocurrency dan aplikasi investasi trojan yang mencuri kunci pribadi orang dan menyedot kepemilikan mereka.

Pada bulan April, Departemen Keuangan AS dan FBI menghubungkan cryptocurrency yang dicuri dari game berbasis blockchain Axie Infinity ke Lazarus, meminta mereka bertanggung jawab untuk mencuri token Ethereum dan USDC senilai lebih dari $617 juta.

Seperti yang terungkap kemudian, pada bulan Juli, peretasan Axie Infinity dimungkinkan berkat file PDF yang berisi detail tawaran pekerjaan yang menggiurkan yang dikirim ke salah satu insinyur blockchain. Serangan ini, memungkinkan Lazarus untuk meningkatkan hak istimewa mereka dan bergerak secara lateral di jaringan perusahaan, akhirnya menemukan kerentanan dan mengeksploitasinya.

Jenis serangan juga dilakukan Lazarus dalam kampanye menggunakan Coinbase. Dengan serangan ini, hanya diperlukan satu orang di sebuah perusahaan untuk membuka PDF dan memungkinkan para peretas untuk mendapatkan akses awal ke jaringan perusahaan.