Cyberthreat.id - Lembaga keamanan siber Amerika Serikat Cybersecurity and Infrastructure Security Agency (CISA), bersama Federal Bureau of Investigation (FBI) merilis peringatan tentang aktivitas Kimsuky, kelompok peretas Korea Utara yang diyakini didukung negaranya.

Dilansir dari Security Week, menurut otoritas keamanan siber Amerika, kelompok Kimsuky yang juga dikenal denga nama Hidden Cobra, telah aktif beroperasi setidaknya sejak 2012. Mereka terlibat dalam serangkaian kejahata siber seperti rekayasa sosial, spear-phishing, dan watering hole attacks.

Menurut peringatan tersebut, Kimsuky menargetkan individu dan organisasi yang berlokasi di Jepang, Korea Selatan, dan Amerika Serikat. Mereka berfokus pada pengumpulan intelijen tentang kebijakan luar negeri dan masalah keamanan nasional yang terkait dengan semenanjung Korea, kebijakan nuklir, dan sanksi.

"Sasarannya termasuk entitas yang terkait dengan pemerintah Korea Selatan, individu yang diyakini ahli di berbagai bidang, dan lembaga think tank (yang terkait dengan aktivitas akademis)," ungkap peringatan tersebut.

Dalam operasinya, Kimsuky menggunakan spear-phishing dengan lampiran berbahaya, dan berbagai metode manipulasi psikologis. Kimsuky akan mengirim email untuk mendapatkan kepercayaan korban, dan menggunakan skrip dan alat berbahaya yang di-host menggunakan kredensial web hosting curian.

Dalam pengamatan yang dilakukan, Kimsuky juga menyamar sebagai reporter Korea Selatan dan terlibat dengan target yang dimaksudkan untuk mengklaim sedang mengatur wawancara tentang masalah antar-Korea dan negosiasi denuklirisasi. Kepada salah satu penerima yang setuju untuk wawancara, Kimsuky mengirim dokumen berbahaya di email berikutnya, untuk menginfeksi korban dengan varian malware BabyShark.

Email spear-phishing yang digunakan disesuaikan dengan topik yang dianggap relevan dengan target, termasuk krisis COVID-19 saat ini, program nuklir Korea Utara, dan wawancara media.

Tak hanya itu, Kimsuky juga menggunakan email phishing bertema login security alert untuk akses awal bersama dengan serangan watering hole. Malware yang dikirimkan melalui situs berbagi torrent, dan ekstensi peramban berbahaya yang disajikan kepada korbannya.

Setelah mendapatkan akses awal, Kimsuky akan menggunakan mshta.exe untuk mengambil dan mengeksekusi file aplikasi HTML (HTA) yang mengunduh dan menjalankan file BabyShark VBS yang dikodekan. Setelah melalui kunci registri, mengumpulkan informasi sistem dan mengirimkannya ke server perintah dan kontrol (C&C) yang dikuasai operator.

Mereka juga menggunakan PowerShell untuk eksekusi file secara langsung di memori. Untuk mencapai konsistensi mereka memanfaatkan ekstensi browser berbahaya, proses sistem yang diubah, Remote Desktop Protocol (RDP) dan dengan mengubah eksekusi autostart dan asosiasi file default untuk sebuah aplikasi.

Menurut peringatam tersebut, pada 2018,  dalam kampanye yang disebut sebagai Stolen Pencil,  Kimsuky menggunakan malware Grease, yang menambahkan akun administrator Windows dan menyalahgunakan RDP untuk memberi penyerang akses ke sistem yang disusupi. Untuk tujuan pengumpulan informasi, mereka menargetkan Hangul Word Processor (HWP) dan dokumen Microsoft Office, dan menggunakan kerangka web untuk mengunggah, mengunduh, dan menghapus file.

Untuk meningkatkan hak istimewa, Kimsuky menggunakan skrip yang ditempatkan di folder Startup, layanan yang baru dibuat, asosiasi file yang dimodifikasi, dan kode berbahaya yang dimasukkan ke explorer.exe. Eksploitasi Win7Elevate dari kerangka Metasploit digunakan untuk melewati Kontrol Akun Pengguna untuk menyuntikkan kode ke explorer.exe.

Peringatan itu juga menyebutkan  metode yang digunakan Kimsuky untuk menghindari pertahanan, penggunaan berbagai alat untuk pengambilan kredensial, pembuangan memori, dan pencacahan informasi sistem, bagaimana data sistem dikumpulkan, dan penargetan macOS sistem. Selain itu, ada juga rincian informasi tentang C&C yang digunakan dan eksfiltrasi data.

"Aktivitas pelaku ancaman terbatas pada pengumpulan informasi, dan tidak bersifat merusak," tulis laporan itu.[]

Editor: Yuswardi A. Suud