Google: Hacker Korea Utara telah menargetkan peneliti keamanan melalui media sosial

Google TAG memperingatkan peneliti keamanan untuk waspada saat didekati oleh orang tak dikenal di media sosial.

Google: Hacker Korea Utara telah menargetkan peneliti keamanan melalui media sosial
Google: Hacker Korea Utara telah menargetkan peneliti keamanan melalui media sosial
Google: Hacker Korea Utara telah menargetkan peneliti keamanan melalui media sosial
Google: Hacker Korea Utara telah menargetkan peneliti keamanan melalui media sosial

Google hari ini mengatakan bahwa kelompok Hacking pemerintah Korea Utara telah menargetkan anggota komunitas keamanan dunia maya yang terlibat dalam penelitian kerentanan.

Serangan tersebut telah ditemukan oleh Google Threat Analysis Group (TAG), sebuah tim keamanan Google yang berspesialisasi dalam berburu grup Advanced Persistent threat (APT).

Dalam laporan yang diterbitkan sebelumnya hari ini, Google mengatakan Hacker Korea Utara menggunakan banyak profil di berbagai jejaring sosial, seperti Twitter, LinkedIn, Telegram, Discord, dan Keybase, untuk menjangkau peneliti keamanan menggunakan persona palsu.

Email juga digunakan dalam beberapa kasus, kata Google.

"Setelah membangun komunikasi awal, para pelaku akan bertanya kepada peneliti yang dituju apakah mereka ingin berkolaborasi dalam penelitian kerentanan bersama, dan kemudian memberikan Proyek Studio Visual kepada peneliti," kata Adam Weidemann, peneliti keamanan Google TAG.

Proyek Visual Studio berisi kode berbahaya yang menginstal malware di sistem operasi peneliti yang ditargetkan. Malware bertindak sebagai pintu belakang ( back door ), menghubungi perintah remote dan server kontrol dan menunggu perintah.

SERANGAN MISTERIUS BROWSER BARU JUGA DITEMUKAN

Tetapi Wiedemann mengatakan bahwa para penyerang tidak selalu mendistribusikan file berbahaya ke target mereka. Dalam beberapa kasus lain, mereka meminta peneliti keamanan untuk mengunjungi blog yang mereka hosting di blog [.] Br0vvnn [.] Io (jangan akses).

Google mengatakan blog tersebut menghosting kode berbahaya yang menginfeksi komputer peneliti keamanan setelah mengakses situs tersebut.

"Sebuah layanan jahat dipasang pada sistem peneliti dan pintu belakang dalam memori akan mulai menyuarakan ke server perintah dan kontrol yang dimiliki aktor," kata Weidemann.

Namun Google TAG juga menambahkan bahwa banyak korban yang mengakses situs tersebut juga menjalankan "versi browser Windows 10 dan Chrome yang sepenuhnya ditambal dan diperbarui" dan masih terinfeksi.

Detail tentang serangan berbasis browser masih sedikit, tetapi beberapa peneliti keamanan percaya bahwa grup Korea Utara kemungkinan besar menggunakan kombinasi kerentanan zero-day Chrome dan Windows 10 untuk menyebarkan kode berbahaya mereka.

Akibatnya, tim Google TAG saat ini meminta komunitas keamanan dunia cyber untuk membagikan lebih banyak detail tentang serangan tersebut, jika ada peneliti keamanan yang yakin bahwa mereka terinfeksi.

Laporan Google TAG menyertakan daftar tautan untuk profil media sosial palsu yang digunakan aktor Korea Utara untuk memikat dan mengelabui anggota komunitas infosec.

Peneliti keamanan disarankan untuk meninjau riwayat penjelajahan mereka dan melihat apakah mereka berinteraksi dengan salah satu profil ini atau jika mereka mengakses domain blog.br0vvnn.io berbahaya.

Jika ya, kemungkinan besar mereka telah terinfeksi, dan langkah-langkah tertentu perlu diambil untuk menyelidiki sistem mereka sendiri.

Alasan untuk menargetkan peneliti keamanan cukup jelas karena dapat memungkinkan kelompok Korea Utara untuk mencuri eksploitasi untuk kerentanan yang ditemukan oleh peneliti yang terinfeksi, kerentanan yang dapat disebarkan oleh kelompok ancaman dalam serangannya sendiri dengan sedikit atau tanpa biaya pengembangan.

Sementara itu, beberapa peneliti keamanan telah mengungkapkan di media sosial bahwa mereka menerima pesan dari akun penyerang, meskipun tidak ada yang mengaku memiliki sistem yang dikompromikan.

What's Your Reaction?

like
1
dislike
0
love
0
funny
1
angry
1
sad
1
wow
0