US-CERT membunyikan alarm untuk Trojan 'KeyMarble' Korea Utara

US-CERT membunyikan alarm untuk Trojan 'KeyMarble' Korea Utara

SMKN1SLAHUNG - US-CERT telah membunyikan alarm atas Trojan Korea Utara yang baru ditemukan yang dijuluki 'KeyMarble'.

The organisasi mengklaim bahwa Trojan yang mampu mengakses data konfigurasi perangkat, men-download file-file tambahan, mengeksekusi perintah, memodifikasi registri, menangkap screenshot dan exfiltrating data.

Ini merekomendasikan bahwa organisasi memelihara perangkat lunak anti-virus terbaru, menginstal tambalan dengan segera, menegakkan kebijakan kata sandi yang kuat dan memastikan firewall pribadi dikonfigurasikan pada workstation untuk menolak permintaan koneksi yang tidak diminta.

Baca juga : Amazon memangkas kontribusi pajak Inggris di tengah peningkatan laba yang sangat besar

Trojan telah dikategorikan bersama seluruh keluarga malware yang dikaitkan dengan Korea Utara oleh pemerintah AS di bawah moniker Hidden Cobra .

Peringatan atas malware yang baru ditemukan itu muncul ketika para peneliti dari McAfee dan Intezer minggu ini di Black Hat 2018 mengumumkan lebih banyak rincian tentang malware Korea Utara, mengungkapkan bagaimana kemiripan dalam kode telah memungkinkan berbagai macam Trojan dan virus untuk disematkan di DPRK.


"Aktor yang buruk memiliki kecenderungan untuk meninggalkan sidik jari tanpa disadari pada serangan mereka, memungkinkan para peneliti untuk menghubungkan titik-titik di antara mereka. Aktor Korea Utara telah meninggalkan banyak petunjuk ini di belakang mereka dan sepanjang evolusi gudang senjata malware mereka," tulis Jay Rosenberg dari Intezer dan McAfee's Christiaan Beek dalam posting blog bersama .

"Ada banyak alasan untuk menggunakan kembali kode malware, yang sangat umum di dunia cybercrime. Jika kita mengambil kampanye ransomware rata-rata, misalnya, setelah kampanye menjadi kurang berhasil, aktor sering mengubah beberapa dasar-dasar seperti menggunakan pengemas yang berbeda untuk memotong pertahanan.

"Dengan kampanye yang ditargetkan, musuh harus menjaga alat-alatnya tidak terdeteksi selama mungkin. Dengan mengidentifikasi kode yang digunakan kembali, kami mendapatkan wawasan berharga tentang 'hubungan leluhur' dengan aktor-aktor ancaman yang dikenal atau kampanye lainnya."

Dengan negara Korea Utara di belakang sejumlah serangan maya yang berbeda selama bertahun-tahun, para peneliti keamanan telah mampu mengidentifikasi hubungan antara masing-masing dan setiap orang dari mereka melalui analisis kode.

"Kami menyadari dua fokus utama kampanye DPRK: satu untuk mengumpulkan uang, dan satu untuk mengejar tujuan nasionalis. Tenaga kerja pertama mengumpulkan uang untuk negara, bahkan jika itu berarti melakukan cybercrime untuk meretas lembaga keuangan, membajak sesi perjudian, atau menjual perangkat lunak bajakan dan retak.Unit 180 bertanggung jawab untuk mendapatkan mata uang asing secara ilegal menggunakan teknik peretasan.

"Tenaga kerja kedua mengoperasikan kampanye yang lebih besar yang dimotivasi oleh nasionalisme, mengumpulkan intelijen dari negara lain, dan dalam beberapa kasus mengganggu negara-negara pesaing dan sasaran militer. Sebagian besar tindakan ini dilaksanakan oleh Unit 121."

McAfee menggunakan kode deteksi kesamaan mesin Interna untuk membantu mengotomatiskan proses analisis.

Analisis kedua perusahaan itu mengungkapkan sejumlah kesamaan baru antara berbagai keluarga malware Korea Utara. WannaCry dan MyDoom, misalnya, dapat dikaitkan secara definitif dengan Korea Utara melalui modul SMB umum yang digunakan di berbagai malware Korea Utara.

Kode yang terintegrasi dalam WannaCry juga telah dikaitkan dengan backdoor yang menargetkan industri manufaktur Korea Selatan - apa pun yang menargetkan Korea Selatan menjadi bendera merah yang menyoroti aktivitas Korea Utara yang potensial.

Pemetaan file umum juga merupakan giveaway. "Kode ini telah muncul di keluarga malware NavRAT dan Gold Dragon, ditambah DLL tertentu dari kampanye peretasan judi Korea Selatan. Ketiga Tikus ini diperkirakan berafiliasi dengan Grup 123 Korea Utara.

"Contoh ketiga, yang bertanggung jawab untuk meluncurkan cmd.exe dengan pembagian bersih, telah terlihat di Brambul 2009, juga dikenal sebagai SierraBravo, serta KorDllBot pada 2011. Keluarga malware ini juga dikaitkan dengan grup Lazarus."

Peneliti keamanan juga telah mampu mengumpulkan berbagai informasi tentang serangan cyber Korea Utara dari kampanye tujuh tahun yang menargetkan hotel di seluruh Asia di mana berbagai macam alat dikerahkan untuk masuk ke sistem dan mengambil kendali perusahaan hotel. server.

Menariknya, mungkin, para peneliti mengklaim hubungan antara bank yang berbasis di Macau "dikendalikan oleh seorang jutawan miliarder yang memulai sebuah kasino di Pyongyang" dan serentetan serangan malware baru-baru ini yang menargetkan operasi pembayaran internasional SWIFT bank yang sah . "Bank Macau terdaftar dua kali dalam kode malware sebagai penerima dana yang dicuri," klaim mereka.

Baca juga : Apa itu Cybersickness atau VR Sickness? Definisi, Gejala, Tindakan Pencegahan, Perawatan

Yang terbesar dari serangan itu, melawan Bangladesh Bank, bank sentral Bangladesh, telah mengungkapkan hubungan dengan kampanye Korea Utara, Hidden Cobra , 10 Days of Rain (PDF), Destover ( digunakan dalam serangan Sony Pictures Entertainment ), MyDoom dan KorHigh .

Lazarus, perlu dicatat, adalah nama payung yang diberikan untuk operasi cyber Korea Utara, tetapi dengan tautan yang jelas di antara mereka, tetapi malware dari Grup 123 ( NavRAT , perjudian dan Gold Dragon ) tampaknya dijalankan secara paralel, tetapi dengan beberapa kolaborasi antara keduanya untuk kampanye tertentu.