INDOPOS.CO.ID – Hampir sepuluh tahun sejak para ahli Kaspersky membuka kedok kampanye spionase siber aktif. Mereka secara khusus menargetkan Think-Tank Korea Selatan. Kelompok yang dijuluki sebagai “Kimsuky” tersebut terus menunjukkan pembaruan alat dan taktik yang produktif untuk menargetkan entitas terkait Korea Utara.
Pakar senior Kaspersky mengungkapkan lebih banyak temuannya, termasuk kemungkinan aktor ancaman Advanced Persistent Threat (APT) ini dalam memperluas operasinya dengan kemampuannya yang melimpah. Kimsuky juga dikenal sebagai Thallium, Black Banshee, dan Velvet Chollima.
Dan telah berada di radar Kaspersky sejak 2013 lalu. Mereka telah memperbarui alatnya dengan sangat cepat untuk menyembunyikan infrastrukturnya dan mempersulit peneliti keamanan dan sistem analisis otomatis untuk memperoleh muatan.
Peneliti Keamanan Utama untuk Global Research and Analysis Team (GReAT) Seongsu Park di Kaspersky menemukan bahwa kelompok terkenal tersebut terus-menerus mengonfigurasi server komando dan kontrol multi-tahap (C2) dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.
Server perintah dan kontrol (command and control), menurut dia, adalah server yang membantu aktor ancaman mengendalikan malware mereka dan mengirim perintah berbahaya ke anggotanya, mengatur spyware, mengirim muatan, dan banyak lagi.
“Dari kurang dari 100 server C2 pada 2019, Kimsuky sekarang memiliki 603 pusat komando berbahaya pada Juli tahun ini yang dengan jelas menunjukkan bahwa aktor ancaman akan meluncurkan lebih banyak serangan hingga di luar wilayah semenanjung Korea,” ujar Seongsu Park dalam keterangannya, Senin (5/9/2022).
“Sejarahnya menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis cryptocurrency di Asia Pasifik harus waspada terhadap ancaman tersembunyi ini,” imbuhnya.
Ia menuturkan, Kimsuky’s Gold Dragon cluster jumlah server C2 yang meroket adalah bagian dari operasi berkelanjutan Kimsuky di Asia Pasifik dan sekitarnya. Pada awal 2022, tim ahli Kaspersky mengamati gelombang serangan lain yang menargetkan jurnalis dan entitas diplomatik dan akademik di Korea Selatan.
Dijuluki sebagai cluster “Gold Dragon”, aktor ancaman memulai rantai infeksi dengan mengirimkan email spearphishing yang berisi dokumen Word tertanam makro,” katanya.
“Berbagai contoh dokumen Word berbeda yang digunakan untuk serangan baru ini terungkap, masing-masing menunjukkan konten umpan yang berbeda terkait dengan masalah geopolitik di Semenanjung Korea,” imbuhnya.
Lebih jauh ia mengungkapkan, pelaku mengirimkan email spear-phishing kepada calon korban untuk mengunduh dokumen tambahan. Jika korban mengklik tautan tersebut, maka akan terjadi koneksi ke server C2 tahap pertama, dengan alamat email sebagai parameter.
“Server C2 tahap pertama memverifikasi parameter alamat email yang masuk adalah yang diharapkan dan mengirimkan dokumen berbahaya jika ada di dalam daftar target. Skrip tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya,” terangnya.
“Saat dokumen yang diambil dibuka, dokumen tersebut terhubung ke server C2 kedua,” imbuhnya.
Ia menambahkan, teknik penting lainnya yang digunakan Kimsuky adalah penggunaan proses verifikasi klien untuk mengkonfirmasi bahwa korban relevan yang ingin mereka targetkan. Pakar Kaspersky bahkan melihat isi dokumen umpan yang beragam topiknya antara lain agenda “Konferensi Kepemimpinan Asia 2022 (2022 Asian Leadership Conference)”, bentuk permintaan honorarium, dan daftar riwayat hidup diplomat Australia.
“Kami telah melihat bahwa kelompok Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis. Kesulitan dalam melacak kelompok ini adalah sulitnya memperoleh rantai infeksi penuh,” ujarnya.
“Seperti yang dapat kita lihat dari penelitian, baru-baru ini, aktor ancaman mengadopsi metodologi verifikasi korban di server komando dan kontrol mereka. Terlepas dari kesulitan mendapatkan objek sisi server, jika kami menganalisis server penyerang dan malware dari sisi korban, kami dapat sepenuhnya memahami bagaimana pelaku ancaman mengoperasikan infrastruktur mereka dan jenis teknik yang digunakan,” imbuhnya. (nas)