Cyberthreat.id - Lazarus Grup menargetkan Korea Selatan melalui serangan menggunakan metode supply chain attack pada aplikasi layanan pemerintah dan perbankan.

Dikutip dari Security Week, hal itu berdasarkan temuan dari peneliti ESET, perusahaan keamanan internet asal Slovakia.

Suppy chain attack atau yang disebut juga dengan serangan rantai pasokan, merupakan serangan siber yang menargetkan elemen yang kurang aman di jaringan pasokan. Serangan rantai pasokan dapat terjadi di industri apa pun, mulai dari sektor keuangan, industri minyak, atau sektor pemerintah. Serangan ini diawali dengan peretasan atau infiltrasi jaringan secara terus menerus, untuk mendapatkan akses ke jaringan perusahaan yang ditargetkan.

Menurut peneliti ESET, pola serangan itu merupakan bagian dari operasi BookCodes, yang dilakukan oleh Korea Internet & Security Agency dan dikaitkan dengan Lazarus. Hal tersebut dapat dilihat dari jenis malware yang digunakan dalam serangan, viktimologi, dan infrastruktur yang dimanfaatkan oleh para penyerang.

ESET mengatakan, Lazarus menargetkan WIZVERA VeraPort, sebuah aplikasi yang dibutuhkan pengguna untuk mengakses layanan yang disediakan oleh beberapa situs web pemerintah dan perbankan di Korea Selatan. ESET meyakini Lazarus tidak benar-benar menyusupi sistem WIZVERA, tetapi mereka menargetkan situs web yang menggunakan perangkat lunak tersebut.

Para penyerang menyusup ke server web dengan dukungan VeraPort dan mengkonfigurasinya untuk menampilkan file berbahaya. File itu ditampilkan ketika pengguna yang menginstal perangkat lunak VeraPort mengunjungi situs web yang terkait dengan server yang disusupi.

Agar serangan itu berhasil, peretas perlu menandatangani malware mereka dan dalam beberapa kasus mereka mencapai ini dengan menyalahgunakan sertifikat penandatanganan kode yang dikeluarkan untuk perusahaan yang menyediakan solusi keamanan fisik dan cyber.

Para penyerang awalnya mendorong pengunduh bertanda tangan, diikuti oleh dropper, payload, pengunduh lain, dan muatan terakhir. Muatan terakhir ini berupa RAT yang memungkinkan penyerang melakukan berbagai aktivitas pada perangkat yang disusupi, termasuk mengunduh dan menjalankan malware lainnya.

ESET menambahkan, agar serangan berhasil, server web yang ditargetkan perlu dikonfigurasi dengan cara tertentu, itulah sebabnya metode pengiriman malware ini hanya digunakan dalam operasi Lazarus terbatas.

“Penyerang sangat tertarik dengan serangan supply chain, karena memungkinkan mereka secara diam-diam menyebarkan malware di banyak komputer pada waktu yang sama, dan ini akan terus meningkat di masa depan," ungkap ESET.

Lazarus merupakan salah satu grup peretas paling terkenal yang diyakini beroperasi atas nama pemerintah Korea Utara, dengan serangan mulai dari spionase hingga operasi yang dilakukan untuk mendapatkan keuntungan. Tidak mengherankan, banyak operasi grup ditujukan ke Korea Selatan, termasuk serangan yang diamati dalam beberapa bulan terakhir oleh banyak peneliti keamanan.[]

Editor: Yuswardi A. Suud