Cyberthreat.id – Dalam beberapa bulan terakhir, FBI dan Departemen Pertahanan Keamanan Dalam Negeri AS mengamati sekelompok peretas yang diduga dari Korea Utara.

Pekan lalu, mereka mengeluarkan sebuah memo tentang teknik, taktik, dan prosedur dari APT Kimsuky alias Black Banshee alias Talium.

FBI menyebut Kimsuky bekerja dengan “misi mengumpulkan intelijen internasional” dan menuding pemerintah Korut juga turut di balik kelompok tersebut.

“Grup ini memiliki sejarah operasi siber ofensif yang kaya dan terkenal di seluruh dunia,” tutur perusahaan keamanan siber Cybereason dalam analisis terbarunya, seperti dikutip dari The Hacker News, diakses Kamis (5 November 2020).

Kimsuky diduga telah aktif sejak 2012 dan sekarang dikaitkan dengan tiga malware yang masih belum tercatat, tapi memiliki kemampuan mencuri informasi dan dilengkapi fitur anti analisis malware.

Cybereason menyebut selama beberapa tahun terakhir mereka menargetkan ke sejumlah negara, seperti AS, Rusia, dan sebagian Uni Eropa.

Senjata yang dipakai Kimsuky untuk mengakses awal jaringan milik korban ialah spear-pishing dan rekayasa sosial. Target mereka di antaranya organisasi think thank, industri cryptocurrency, pemerintah Korsel, dan lain-lain.

Dalam beberapa bulan terakhir, Kimsuky dikaitkan dengan sejumlah operasi menggunakan umpan email bertema virus corona.

Email itu berisi dokumen Word itu sebagai vektor infeksi mereka untuk mendapatkan pijakan pada mesin korban dan meluncurkan malware.

"Kimsuky memfokuskan kegiatan pengumpulan intelijennya pada kebijakan luar negeri dan masalah keamanan nasional yang terkait dengan semenanjung Korea, kebijakan nuklir, dan sanksi," kata Badan Keamanan Siber dan Infrastruktur AS (CISA).

Spyware baru

Menurut Cybereason, kelompok tersebut kini memiliki kemampuan baru melalui spyware rakitan yang disebut "KGH_SPY".  Alat spionase ini memungkinkannya operator mengintai jaringan korban, menangkap keystrokes (penekanan tombol), dan mencuri informasi sensitif.

Selain itu, “pintu belakang” (backdoor) KGH_SPY juga dapat mengunduh muatan sekunder dari server perintah-dan-kontrol (C2), menjalankan perintah mana suka melalui cmd.exe atau PowerShell, dan bahkan mengambil kredensial dari browser web, Windows Credential Manager, WINSCP, dan email clients.

Peneliti juga menemukan malware baru bernama "CSPY Downloader" yang dirancang untuk menggagalkan analisis dan mengunduh muatan tambahan.

Terakhir, Cybereason menemukan infrastruktur malware yang tumpang tindih dengan malware grup BabyShark—sebelumnya menargetkan lembaga think tank yang berbasis di AS.

"Pelaku ancaman menginvestasikan upaya untuk tetap berada di bawah radar, dengan menggunakan berbagai teknik anti-forensik dan anti-analisis malware, "kata Cybereason.

"Meskipun identitas para korban ini masih belum jelas, ada petunjuk bahwa malware ini menargetkan organisasi yang fokus menangani pelanggaran hak asasi manusia," Cybereason menambahkan.[]

Redaktur: Andi Nugroho