Hacker Korea Utara meluncurkan serangan menggunakan Windows Update dan GitHub. Serangan itu teridentifikasi saat ada penyelidikan terhadap aksi spear phishing melawan Lockheed Martin.
Tim Intelijen Ancaman Malwarebytes telah mengeluarkan peringatan baru untuk para pengguna terkait ancaman yang baru-baru ini teridentifikasi dari kelompok hacker asal Korea Utara, Lazarus.
Serangan tersebut menggunakan dokumen palsu dengan embedded macro yang dirancang menyerupai info lowongan kerja Lockheed Martin.
Pertama, macro dijalankan, kemudian Windows Update dan GitHub digunakan untuk mengirimkan payloads dan menginfeksi pengguna yang tidak curiga.
Organisasi yang didanai negara dan yang juga pernah dicurigai dalam serangan masa lalu seperti dalam serangan WannaCry dan berbagai serangan terhadap saluran distribusi media Amerika Serikat, ditemukan saat sedang menggunakan Windows Update untuk mengirimkan payload berbahaya, yakni ketika memakai GitHub sebagai sebuah perintah utama sekaligus sebagai server C2 atau server kontrol.
Serangan-serangan itu sebelumnya dengan bebas masuk ke dalam bursa lowongan kerja, dan menargetkan organisasi-organisasi serta individu-individu tertentu di sektor pertahanan, kedirgantaraan, dan sipil pemerintahan.
Tujuan serangan ini adalah untuk menyusup ke entitas pemerintah kelas atas yang punya spesialisasi dalam pertahanan dan kedirgantaraan serta untuk mencuri sebanyak mungkin data intelijen.
Kedua dokumen Word yang digunakan dalam serangan ini dikenal sebagai Lockheed_Martin_JobOpportunities.docx, dan Salary_Lockheed_Martin_job_opportunities_confidential.doc.
Seperti namanya, kedua dokumen ini tampaknya memancing target ke dalam peluang kerja baru di Lockheed Martin.
Serangkaian makro berbahaya yang tertanam dalam dokumen Word mulai menyusup ke sistem setelah diaktifkan, kemudian segera menyematkan kode ke sistem startup komputer untuk memastikan agar restart tidak mematikan virus.
Menariknya, bagian dari proses injeksi, menggunakan Windows Update Client guna menginstal DLL berbahaya.
Ini sangat cerdas karena teknik ini menghindari sistem deteksi keamanan.
Metode serangannya baru, tetapi strategi phishing-nya tidak. Ini adalah strategi yang sama yang digunakan Lazarus selama lebih dari setahun, yang dikenal sebagai operasi “Dream Job”.
Model yang digunakan pada serangan ini memancing pegawai pemerintah beranggapan bahwa mereka dapat memenuhi syarat pekerjaan yang sangat didambakan, hanya untuk menyadari bahwa semua itu cuma tampilan muka belaka yang digunakan untuk mencuri data sensitif dari tempat kerja mereka. (fn)
Baca juga: Microsoft Pecahkan Rekor, Tangkal Serangan DDoS Terbesar di Server Azure
