0
Thumbs Up
Thumbs Down

Kaspersky temukan malware tak dikenal, Chinotto

Indotelko
Indotelko - Thu, 02 Dec 2021 12:21
Dilihat: 105
Kaspersky temukan malware tak dikenal, Chinotto

JAKARTA (IndoTelko) - Peneliti Kaspersky menemukan malware yang sebelumnya tidak dikenal bernama Chinotto yang menargetkan pembelot Korea Utara dan aktivis hak asasi manusia. Malware yang dioperasikan oleh aktor Ancaman Persisten Tingkat Lanjut (APT) ScarCruft diimplementasikan di PowerShell, executable Windows, dan aplikasi Android. Ia mampu mengendalikan dan mengekstrak informasi sensitif dari targetnya.

Penyerang berusaha mengumpulkan informasi dan menyerang koneksi si korban menggunakan jejaring sosial dan email mereka yang disusupi.

Grup ScarCruft adalah aktor APT yang disponsori negara dan diketahui sebagian besar mengawasi organisasi pemerintah yang terkait dengan Semenanjung Korea (Korean Peninsula), pembelot Korea Utara, dan jurnalis lokal. Baru-baru ini, Kaspersky dihubungi oleh layanan berita lokal untuk permintaan bantuan teknis selama penyelidikan keamanan siber mereka. Hasilnya, peneliti Kaspersky memiliki kesempatan untuk melakukan penyelidikan lebih dalam pada komputer yang disusupi oleh ScarCruft.

Pakar Kaspersky bekerja sama dengan CERT lokal untuk menyelidiki infrastruktur command-and-control penyerang. Selama analisis, Kaspersky menemukan kampanye kompleks dan tertarget dari aktor ancaman ini dan berfokus pada pengguna yang terhubung ke Korea Utara.

Hasilnya, para ahli Kaspersky menemukan executable Windows berbahaya yang dijuluki Chinotto. Malware ini tersedia dalam tiga versi: PowerShell, Windows executable, dan aplikasi Android. Ketiga versi berbagi skema perintah dan kontrol yang serupa berdasarkan komunikasi HTTP. Ini berarti bahwa operator malware dapat mengontrol seluruh keluarga malware melalui satu set skrip perintah dan kontrol.

Komputer dan ponsel korban secara bersamaan terinfeksi, operator malware dapat mengatasi otentikasi dua faktor di aplikasi perpesanan atau email dengan mencuri pesan SMS dari ponsel. Setelah itu, operator dapat mencuri informasi apa pun yang mereka hendaki dan melanjutkan serangan, misalnya,ditujukan pada kenalan atau mitra bisnis korban.

Malware ini punya karakteristik khusus dimana ia mengandung banyak kode sampah atau tidak beraturan yang dimaksudkan untuk menghalangi analisis. Khususnya, malware yang mengisi buffer dengan data tidak berarti dan tidak pernah digunakan.

Komputer yang diselidiki, terinfeksi malware PowerShell, dan peneliti Kaspersky menemukan bukti bahwa penyerang telah mencuri data dan melacak tindakan korban selama berbulan-bulan.

Para ahli Kaspersky tidak dapat memperkirakan dengan tepat berapa banyak dan data apa saja yang dicuri, mereka tahu bahwa operator malware mengumpulkan tangkapan layar dan mengekstraknya antara Juli dan Agustus 2021.

Awalnya, penyerang menggunakan akun Facebook korban yang telah dicuri untuk menghubungi kenalan korban, yang juga menjalankan bisnis terkait Korea Utara. Setelah itu, mereka menggunakan koneksi tersebut untuk mengumpulkan informasi tentang aktivitasnya dan kemudian menyerang target dengan email spear-phishing yang berisi dokumen Word berbahaya yang dijuluki "situasi terbaru Korea Utara dan keamanan nasional kita (North Korea's latest situation and our national security)".

Dokumen ini menyertakan makro berbahaya dan muatan untuk proses infeksi multi-tahap. Makro tahap pertama dengan memeriksa keberadaan solusi keamanan Kaspersky di mesin korban. Jika diinstal pada sistem, makro memungkinkan akses kepercayaan untuk Visual Basic Application (VBA). Dengan demikian, Microsoft Office akan mempercayai semua makro dan menjalankan kode apa pun tanpa menunjukkan peringatan keamanan atau memerlukan izin pengguna.

Nah, bila tidak ada perangkat lunak keamanan Kaspersky yang diinstal, makro langsung melanjutkan untuk mendekripsi muatan tahap berikutnya. Kemudian, setelah infeksi awal ini, penyerang mengirimkan malware Chinotto dan kemudian dapat mengontrol dan mengekstrak informasi sensitif korban.

Dalam proses analisa, para ahli Kaspersky juga mengidentifikasi empat korban lainnya, semuanya berlokasi di Korea Selatan, dan server web yang disusupi yang telah digunakan sejak awal 2021. Menurut penelitian, target ancaman adalah individu, bukan perusahaan atau organisasi tertentu.

Dikatakan peneliti keamanan senior di Global Research and Analysis Team (GReAT) Kaspersky, Seongsu Park, banyak jurnalis, pembelot, dan aktivis hak asasi manusia menjadi sasaran serangan siber yang canggih. Namun, mereka umumnya tidak memiliki alat untuk bertahan dan merespons serangan pengawasan semacam itu. Penelitian ini menunjukkan pentingnya pakar keamanan berbagi pengetahuan siber terbaru dan berinvestasi solusi yang dapat memerangi ancaman tersebut. "Kolaborasi Kaspersky dengan CERT lokal telah memberi kami perspektif unik tentang infrastruktur ScarCruft dan karakteristik teknisnya, yang saya harap akan meningkatkan keamanan kami dalam menangkis serangan mereka," katanya. (ak)


Read More...

Sumber: Indotelko

Kaspersky temukan malware tak dikenal, Chinotto

Kaspersky temukan malware tak dikenal, Chinotto

Kaspersky temukan malware tak dikenal, Chinotto

Kaspersky temukan malware tak dikenal, Chinotto

Kaspersky temukan malware tak dikenal, Chinotto

  
PARTNER KAMI
JPNN
genpi
Republika Online
LIPUTAN6
okezone
BBC
bintang
bola
Antvklik
rumah123
Rumah
Love Indonesia
CENTROONE
wartaekonomi
Voice of America
Popular
Gocekan
Teqnoforia
Angelsontrip
Makanyuks
BisnisWisata
Jakarta Kita
Indonesia Raya News
RajaMobil
Mobil123
Otospirit
MakeMac
Indotelko
Inditourist
TEKNOSAINS
MotorExpertz
Mobil WOW
Oto
Kpop Chart
salamkorea
slidegossip
Hotabis
INFOJAMBI
Japanese STATION
pijar
SeleBuzz
Mobilmo
Cintamobil
Football5star
Citra Indonesia
OTORAI
Sehatly
Hetanews
Inikata
Nusabali
Garduoto
batampos
covesia
carmudi
idnation
inipasti
teknorush
winnetnews
mediaapakabar
carvaganza
mediakepri
kabarsurabaya