Kaspersky Perkirakan Serangan APT Kimsuky Terus Meningkat di APAC Kaspersky Perkirakan Serangan APT Kimsuky Terus Meningkat di APAC ~ Teknogav.com

Kaspersky Perkirakan Serangan APT Kimsuky Terus Meningkat di APAC


Teknogav.com – Pada ajang Kaspersky Asia Pacific Cyber Security Weekend di Phuket, Thailand, peneliti Kaspersky memaparkan mengenai ganasnya serangan APT Kimsuky. Seongsu Park, Lead Security Researcher GreAT APAC, Kaspersky memaparkan bahwa APT Kimsuky terus membangun infrastruktur serangan. Diperkirakan akan ada lebih banyak negara di Asia Pasifik yang menjadi sasaran serangan APT Kimsuky ini.

Temuan-temuan terkini mengenai Kimsuky dipaparkan Seongsu Park ketika menjawab topik “What if we can see another dimension of Cyber Attacks?’. Kimsuky yang juga dikenal sebagai Thallium, Black Banshee dan Velvet Chollima telah dipantau Kaspersky sejak tahun 2013. Kelompok tersebut dikenal memperbarui alat-alatnya sangat cepat untuk menyembunyikan infrastruktur mereka. Upaya tersebut dilakukan untuk mempersulit para peneliti keamanan dan sistem analisis otomatis untuk mempelajari informasinya.

Baca juga: Kaspersky Asia Pacific CSW Paparkan Realita Dunia Tanpa Teknologi Maju

Salah satu temuan terkini Seoungsu Park mengungkapkan bahwa pelaku ancaman APT ini memperluas operasi mereka dengan kapabilitas yang melimpah. Kelompok ini terus-menerus mengonfigurasi server command and control (C2) multi-tahap dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia. Server C2 adalah server yang membantu pelaku ancaman untuk mengendalikan malware mereka dan mengirim perintah berbahaya ke anggota-anggotanya, mengatur spyware, mengirim informasi dan lain-lain.

Jumlah Server C2 Kimsuky yang ditemukan Kaspersky

“Dari kurang dari 100 server C2 pada tahun 2019, kini Kimsuky memiliki 603 pusat perintah berbahaya per Juli tahun 2022. Ini berarti pelaku ancaman bersiap-siap untuk meluncurkan lebih banyak serangan, kemungkinan di sekitar semenanjung Korea. Riwayatnya menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis aset kripto di APAC harus waspada terhadap ancaman tersembunyi ini,” ucap Seongsu Park.

Baca juga: Kaspersky Ungkap Serangan yang Menargetkan Pengguna Android dan iOS

Klaster GoldDragon Kimsuky

Jumlah server C2 yang meningkat merupakan bagian dari operasi Kimsuky yang terus menerus di APAC dan sekitarnya. Awal tahun 2022 tim pakar Kaspersky mengamati gelombang serangan lain yang menargetkan entitas akademis, jurnalis, dan diplomatik di Korea Utara. Pelaku ancaman ini dijuluki GoldDragon, mereka memulai rantai infeksi dengan mengirim email spearphishing yang mengandukng dokumen Word yang disematkan makro. Berbagai contoh dokumen Word yang berbeda digunakan untuk serangan baru telah diungkap. Masing-masing dokumen tersebut menampilkan konten pemikat berbeda yang berkaitan dengan masalah geopolitik di semenanjung Korea.

Konten pemikat


Analisis lebih lanjut memungkinkan Seongsu Park untuk mengungkap skrip dari sisi server yang berkaitan dengan klaster GoldDragon. Skrip ini memungkinkan pakar tersebut untuk memetakan operasi kelompok C2.

Struktur server C2 server


Berikut ini adalah modus operasi APT Kimsuky:

  1. Pelaku mengirim email spear-phishing ke korban potensial untuk mengunduh dokumen tambahan
  2. Jika korban mengklik tautan, maka akan terhubung ke tahap pertama server C2 dengan alamat email sebagai parameter
  3. Server C2 tahap pertama memverifikasi parameter alamat email yang masuk sebagai yang diharapkan dan mengirim dokumen berbahaya jika berada di dalam daftar sasaran. Skrip tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya
  4. Ketika dokumen yang diambil dibuka, maka akan menghubungkan ke server C2 kedua
  5. Skrip yang sesuai pada server C2 kedua memeriksa alamat IP yang diteruskan dari server tahap pertama untuk memeriksa apakah itu permintaan yang diharapkan dari korban yang sama. Menggunakan skema validasi IP ini, pelaku memverifikasi apakah permintaan yang masuk berasal dari korban atau tidak.
  6. Selain itu, operator bergantung pada beberapa proses lain untuk menyampaikan informasi berikutnya secara berhati-hati, seperti memeriksa jenis sistem operasi dan string agen pengguna yang telah ditentukan sebelumnya.

Teknik operasi lain Kimsuky lain yang dikenal adalah penggunaan proses verifikasi klien untuk mengonfirmasi korban yang relevan untuk diserang. Para pakar Kaspersky bahkan melihat konten dokumen pemikat memiliki topik bervariasi, termasuk agenda ‘2022 Asian Leadership Conference’, formulir permintaan honorarium, dan curriculum vitae diplomat Australia. 

Baca juga: Apa yang Terjadi Jika email Tak Dibuka? Ini Pemaparan Kaspersky

“Kami melihat bahwa kelompok Kimsuky terus melakukan evolusi pada skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis. Sulitnya melacak kelompok ini adalah susah untuk mendapatkan rantai infeksi yang penuh. Sebagaimana yang dapat dilihat dari penelitian ini, pelaku ancaman yang terkini mengadopsi metodologi verifikasi korban dalam server C2 mereka. Selain sulitnya mendapatkan objek dari sisi server, jika kami menganalisa server penyerang dan malware dari sisi korban, kami dapat memahami sepenuhnya cara pelaku ancaman mengoperasikan infrastruktur mereka dan jenis teknik yang mereka gunakan,” ucap Seongsu Park.

Tips Melindungi Sistem dan Jaringan dari APT Kimsuky

Para pakar Kaspersky memberikan rekomendasi untuk melindungi sistem dan jaringan dari taktik dan teknik Kimsuky. Berikut ini adalah beberapa tips tersebut:

  • Pertahanan berbasis konteks penuh merupakan kunci
    • Jenis pertahanan hit-and-run tidak pernah berhasil
    • Tim keamanan dan para ahli perlu memahami konteks ancaman secara penuh. Disarankan untuk memililki layanan yang menyediakan laporan secara mendalam dan real-time, serta analisis seperti Kaspersky Threat Intelligence Portal
    • Melakukan diversifikasi titik pertahanan
  • Bekerja sama dengan industri lain
    • Setiap sektor memiliki serangakaian kekuatan dan keahlian
    • Kerja sama penting untuk memahami mutidimensi ancaman siber untuk mendapatkan strategi lebih baik dalam melawan mereka

Pemahaman secara multidimensi merupakan hal penting karena sulit untuk memahami serangan siber hanya dari dimensi malware. Hal ini karena ancaman siber yang muncul begitu rumit, sehingga sulit untuk mendapatkan rantai infeksi sepenuhnya, sulit untuk memperkirakan hubungan dari setiap komponen dan sulit untuk memahami tujuan pelaku ancaman. Penelitian dengan dimensi C2  dan malware memungkinkan untuk memahami trik, strategi dan target.

Share:

Artikel Terkini