SentinelLabs, divisi penelitian dan intelijen ancaman dari perusahaan keamanan siber SentinelOne, telah meneliti kampanye serangan baru dan canggih yang bernama NimDoor, yang menargetkan perangkat macOS dari penjahat di Korea Utara.
Rencana kompleks ini mencakup penggunaan bahasa pemrograman Nim untuk mengimplementasikan berbagai serangan ke perangkat yang digunakan dalam bisnis Web3 kecil, ini adalah tren terbaru.
Penyelidik yang mengaku ZachXBT juga telah menemukan rangkaian pembayaran yang dilakukan untuk karyawan TI Korea Selatan, yang mungkin merupakan bagian dari kelompok peretas berbakat ini.
Bagaimana serangan itu dilakukan
Laporan rinci dari SentinelLabs menggambarkan metode baru yang aneh dan sulit dipahami untuk menyerang perangkat Mac.
Mulai dengan cara yang biasa: menyamar sebagai kontak tepercaya untuk menjadwalkan pertemuan melalui Calendly, kemudian target akan menerima email untuk memperbarui aplikasi Zoom.
Skrip pembaruan diakhiri dengan tiga baris kode berbahaya yang berfungsi untuk mengambil dan mengeksekusi skrip tahap dua dari server yang dikendalikan ke tautan rapat Zoom yang sah.
Klik tautan akan secara otomatis mengunduh dua file biner Mac, menginisialisasi dua jalur eksekusi independen: file pertama akan menghapus informasi sistem umum dan data spesifik aplikasi. File kedua memastikan bahwa penyerang akan memiliki akses jangka panjang ke mesin yang terpengaruh.
Serangan berantai kemudian dilanjutkan dengan menginstal dua skrip Bash melalui Trojan. Satu skrip digunakan untuk menargetkan data dari browser tertentu: Arc, Brave, Firefox, Chrome, dan Edge. Skrip yang lain mencuri data terenkripsi dari Telegram dan blob yang digunakan untuk mendekripsi data tersebut. Kemudian, data diekstrak ke server yang dikendalikan.
Hal yang membuat pendekatan ini unik dan penuh tantangan bagi para analis keamanan adalah penggunaan berbagai komponen perangkat lunak jahat dan berbagai teknik untuk menyisipkan dan memalsukan perangkat lunak jahat, sehingga membuat deteksi menjadi sangat sulit.
Melacak uang
ZachXBT, seorang penyelidik blockchain anonim, baru-baru ini memposting di X temuan terbarunya tentang pembayaran besar yang dilakukan kepada banyak pengembang dari Republik Demokratis Rakyat Korea (DPRK) yang bekerja pada berbagai proyek berbeda sejak awal tahun.
Ia telah mengidentifikasi delapan pekerja yang bekerja untuk dua belas perusahaan yang berbeda.
Penemuan beliau menunjukkan bahwa 2,76 juta USDC telah dikirim dari akun Circle ke alamat yang terkait dengan para pengembang setiap bulan. Alamat-alamat ini sangat dekat dengan alamat yang telah dimasukkan Tether dalam daftar hitam pada tahun 2023, karena terkait dengan tersangka pemimpin Sim Hyon Sop.
Zach terus memantau kelompok alamat yang serupa, tetapi belum mengungkapkan informasi apa pun karena mereka masih aktif.
Ia telah memberikan peringatan bahwa begitu para pekerja ini memegang kepemilikan kontrak, proyek dasar akan menghadapi risiko yang tinggi.
"Saya percaya bahwa ketika sebuah kelompok mempekerjakan banyak DPRK ITW (pegawai TI), itu adalah indikator yang wajar untuk menentukan bahwa perusahaan rintisan akan gagal. Tidak seperti ancaman lain terhadap industri, para pegawai ini memiliki sedikit kecanggihan, sehingga sebagian besar merupakan hasil dari kelalaian kelompok itu sendiri."
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hati-hati! Peretas Korea Utara Menargetkan Pengguna Mac dengan Cara yang Sangat Kreatif
SentinelLabs, divisi penelitian dan intelijen ancaman dari perusahaan keamanan siber SentinelOne, telah meneliti kampanye serangan baru dan canggih yang bernama NimDoor, yang menargetkan perangkat macOS dari penjahat di Korea Utara. Rencana kompleks ini mencakup penggunaan bahasa pemrograman Nim untuk mengimplementasikan berbagai serangan ke perangkat yang digunakan dalam bisnis Web3 kecil, ini adalah tren terbaru. Penyelidik yang mengaku ZachXBT juga telah menemukan rangkaian pembayaran yang dilakukan untuk karyawan TI Korea Selatan, yang mungkin merupakan bagian dari kelompok peretas berbakat ini. Bagaimana serangan itu dilakukan Laporan rinci dari SentinelLabs menggambarkan metode baru yang aneh dan sulit dipahami untuk menyerang perangkat Mac. Mulai dengan cara yang biasa: menyamar sebagai kontak tepercaya untuk menjadwalkan pertemuan melalui Calendly, kemudian target akan menerima email untuk memperbarui aplikasi Zoom. Skrip pembaruan diakhiri dengan tiga baris kode berbahaya yang berfungsi untuk mengambil dan mengeksekusi skrip tahap dua dari server yang dikendalikan ke tautan rapat Zoom yang sah. Klik tautan akan secara otomatis mengunduh dua file biner Mac, menginisialisasi dua jalur eksekusi independen: file pertama akan menghapus informasi sistem umum dan data spesifik aplikasi. File kedua memastikan bahwa penyerang akan memiliki akses jangka panjang ke mesin yang terpengaruh. Serangan berantai kemudian dilanjutkan dengan menginstal dua skrip Bash melalui Trojan. Satu skrip digunakan untuk menargetkan data dari browser tertentu: Arc, Brave, Firefox, Chrome, dan Edge. Skrip yang lain mencuri data terenkripsi dari Telegram dan blob yang digunakan untuk mendekripsi data tersebut. Kemudian, data diekstrak ke server yang dikendalikan. Hal yang membuat pendekatan ini unik dan penuh tantangan bagi para analis keamanan adalah penggunaan berbagai komponen perangkat lunak jahat dan berbagai teknik untuk menyisipkan dan memalsukan perangkat lunak jahat, sehingga membuat deteksi menjadi sangat sulit. Melacak uang ZachXBT, seorang penyelidik blockchain anonim, baru-baru ini memposting di X temuan terbarunya tentang pembayaran besar yang dilakukan kepada banyak pengembang dari Republik Demokratis Rakyat Korea (DPRK) yang bekerja pada berbagai proyek berbeda sejak awal tahun. Ia telah mengidentifikasi delapan pekerja yang bekerja untuk dua belas perusahaan yang berbeda. Penemuan beliau menunjukkan bahwa 2,76 juta USDC telah dikirim dari akun Circle ke alamat yang terkait dengan para pengembang setiap bulan. Alamat-alamat ini sangat dekat dengan alamat yang telah dimasukkan Tether dalam daftar hitam pada tahun 2023, karena terkait dengan tersangka pemimpin Sim Hyon Sop. Zach terus memantau kelompok alamat yang serupa, tetapi belum mengungkapkan informasi apa pun karena mereka masih aktif. Ia telah memberikan peringatan bahwa begitu para pekerja ini memegang kepemilikan kontrak, proyek dasar akan menghadapi risiko yang tinggi. "Saya percaya bahwa ketika sebuah kelompok mempekerjakan banyak DPRK ITW (pegawai TI), itu adalah indikator yang wajar untuk menentukan bahwa perusahaan rintisan akan gagal. Tidak seperti ancaman lain terhadap industri, para pegawai ini memiliki sedikit kecanggihan, sehingga sebagian besar merupakan hasil dari kelalaian kelompok itu sendiri."