Cyberthreat.id - Pelaku ancaman di Korea Utara telah dikaitkan dengan dua aktivitas pendistribusian malware. Mereka disebut menyamar sebagai perekrut dan pencari kerja untuk mendistribusikan malware dan mendapatkan pekerjaan tidak sah dengan organisasi yang berbasis di AS dan belahan dunia lain.

The Hacker News menyebutkan, kelompok kegiatan tersebut masing-masing diberi nama kode Contagious Interview dan Wagemole, oleh Palo Alto Networks Unit 42.

Meskipun rangkaian serangan pertama bertujuan untuk "menginfeksi pengembang perangkat lunak dengan malware melalui wawancara kerja fiktif", serangan terakhir dirancang untuk keuntungan finansial dan spionase.

“Tujuan aktivitas yang pertama kemungkinan besar adalah pencurian mata uang kripto dan menggunakan target yang disusupi sebagai lingkungan untuk melakukan serangan tambahan,” kata perusahaan keamanan siber tersebut.

Sebaliknya, aktivitas penipuan mencari kerja melibatkan penggunaan repositori GitHub untuk menampung resume dengan identitas palsu yang menyamar sebagai individu dari berbagai negara.

Serangan Contagious Interview membuka jalan bagi dua malware lintas platform yang sampai sekarang tidak terdokumentasi bernama BeaverTail dan InvisibleFerret yang dapat berjalan di sistem Windows, Linux, dan macOS.

Perlu dicatat bahwa rangkaian intrusi ini memiliki kesamaan taktis dengan aktivitas ancaman Korea Utara yang dilaporkan sebelumnya, yang dijuluki Operation Dream Job, yang melibatkan pendekatan terhadap karyawan dengan tawaran pekerjaan potensial dan menipu mereka agar mengunduh alat berbahaya – dalam hal ini paket npm jahat yang dihosting di GitHub – sebagai bagian dari wawancara online.

“Pelaku ancaman kemungkinan besar menyajikan paket tersebut kepada korban sebagai perangkat lunak untuk ditinjau atau dianalisis, namun sebenarnya paket tersebut berisi JavaScript berbahaya yang dirancang untuk menginfeksi host korban dengan malware pintu belakang,” kata Unit 42.

BeaverTail, implan JavaScript, adalah pencuri dan pemuat yang dilengkapi dengan kemampuan untuk mencuri informasi sensitif dari browser web dan dompet kripto, dan mengirimkan muatan tambahan, termasuk InvisibleFerret, backdoor berbasis Python dengan sidik jari, kendali jarak jauh, keylogging, dan data fitur eksfiltrasi.

InvisibleFerret juga dirancang untuk mengunduh klien AnyDesk dari server yang dikendalikan aktor untuk akses jarak jauh.

 

Awal bulan ini, Microsoft memperingatkan bahwa sub-cluster Lazarus Group yang terkenal yang disebut sebagai Sapphire Sleet (alias BlueNoroff) telah membangun infrastruktur baru yang meniru portal penilaian keterampilan sebagai bagian dari kampanye rekayasa sosialnya.

Ini bukan pertama kalinya pelaku ancaman Korea Utara menyalahgunakan modul palsu di npm dan PyPI.

Pada akhir Juni dan Juli 2023, Phylum dan GitHub merinci aktivitas rekayasa sosial yang menargetkan akun GitHub pribadi karyawan yang bekerja di perusahaan teknologi untuk menyebarkan paket npm palsu dengan kedok berkolaborasi dalam proyek sumber terbuka.

Serangan tersebut telah dikaitkan dengan cluster lain yang dikenal sebagai Jade Sleet, yang juga disebut TraderTraitor dan UNC4899, dan sejak itu terlibat dalam peretasan JumpCloud yang terjadi pada waktu yang hampir bersamaan.

Penemuan Wagehole mencerminkan nasihat baru-baru ini dari pemerintah AS, yang mengungkapkan akal-akalan Korea Utara untuk menghindari sanksi dengan mengirimkan pasukan pekerja IT berketerampilan tinggi yang mendapatkan pekerjaan di beberapa perusahaan secara global dan menyalurkan kembali gaji mereka untuk mendanai program senjata negara tersebut.

“Beberapa resume menyertakan tautan ke profil LinkedIn dan tautan ke konten GitHub,” kata perusahaan keamanan siber tersebut.

"Akun GitHub ini tampak terpelihara dengan baik dan memiliki riwayat aktivitas yang panjang. Akun ini menunjukkan pembaruan kode yang sering dan sosialisasi dengan pengembang lain. Akibatnya, akun GitHub ini hampir tidak dapat dibedakan dari akun yang sah."

“Kami akan membuat 20 hingga 50 profil palsu dalam setahun sampai kami dipekerjakan,” kata seorang pekerja IT Korea Utara yang baru-baru ini membelot kepada Reuters, yang juga berbagi rincian kampanye Wgemole.

Perkembangan ini terjadi ketika Korea Utara mengklaim bahwa mereka telah berhasil menempatkan satelit mata-mata militer ke luar angkasa, setelah dua kali gagal pada bulan Mei dan Agustus tahun ini.

Hal ini juga mengikuti kampanye serangan baru yang diatur oleh kelompok Andariel yang terkait dengan Korea Utara – elemen bawahan lainnya dalam Lazarus – untuk mengirimkan Black RAT, Lilith RAT, NukeSped, dan TigerRAT dengan menyusup ke server MS-SQL yang rentan serta melalui serangan rantai pasokan menggunakan perangkat lunak manajemen aset Korea Selatan.

“Pengembang perangkat lunak sering kali menjadi titik terlemah dalam serangan rantai pasokan, dan tawaran pekerjaan palsu terus menjadi perhatian, jadi kami mengharapkan adanya aktivitas lanjutan dari Contagious Interview,” kata Unit 42.

“Selain itu, Wagemole mewakili peluang untuk memasukkan orang dalam ke dalam perusahaan yang ditargetkan.”[]