Serangan Siber Lazarus Targetkan Rantai Pasokan Korea Selatan Serangan Siber Lazarus Targetkan Rantai Pasokan Korea Selatan ~ Teknogav.com
Home » Serangan Siber Lazarus Targetkan Rantai Pasokan Korea Selatan

Serangan Siber Lazarus Targetkan Rantai Pasokan Korea Selatan

Teknogav.com - Kampanye Lazarus terkini memadukan serangan watering hole dengan eksploitasi kerentanan dalam perangkat lunak pihak ketiga. Serangan yang menjadikan berbagai organisasi di Korea Selatan sebagai sasaran tersebut diungkapkan oleh tim GReAT Kaspersky. Kerentanan zero-day dalam perangkat lunak Innorix Agent Korea Selatan juga ditemukan para pakar Kaspersky dalam penelitiannya. Patch untuk mengatasi kerentanan tersebut pun segera diberikan.

Innorix Agent adalah alat pihak ketiga yang terintegrasi dengan browser untuk mengirim file dengan aman dalam sistem administrasi dan keuangan. Perangkat yang mengalami kerentanan satu hari ini dieksploitasi Lazarus untuk memfasilitasi pergerakan lateral. Lazarus pun dapat memasang malware tambahan pada host yang jadi sasaran. Penyebaran malware bertanda tangan Lazarus seperti ThreatNeedle dan LPEClient pun dapat dilakukan untuk memperluas jangkauan dalam jaringan internal. Eksploitasi ini merupakan bagian dari serangan yang lebih besar. Pengiriman dilakukan melalui pengunduh Agamemnon sehingga menjadikan versi Innorix yang rentan sebagai sasaran khusus.

Baca juga: Lazarus Curi Basis Data Pelanggan dengan MATA, Ini Tips Mencegahnya

Pakar GReAT Kaspersky berhasil menemukan kerentanan zero-day tambahan lain saat menganalisis perilaku malware. Kerentanan tersebut berhasil ditemukan sebelum dimanfaatkan penjahat siber dalam serangan. Masalah di Innorix Agent ini sudah dilaporkan Kaspersky ke Korea Internet & Security Agency (KrCERT) dan vendor. Perangkat lunak tersebut pun sudah diperbarui dengan versi patch. Kerentanan ini ditetapkan dengan pengenal KVE-2025-0014.

Grup Lazarus aktif sejak tahun 2009 dan memiliki banyak sumber daya. Temuan-temuan Kaspersky menekankan cara Lazarus memanfaatkan pemahaman mendalam mengenai ekosistem perangkat lunak Korea Selatan untuk melancarkan serangan siber multi-tahap canggih. Kampanye yang dilancarkan Lazarus dijuluki pakar Kaspersky sebagai ‘Operasi SyncHole’. Setidaknya enam organisasi di seluruh sektor perangkat lunak, TI, keuangan, semikonduktor dan telekomunikasi di Korea Selatan jadi sasaran penyerang. Namun, jumlah korban sebenarnya bisa lebih tinggi. 

"Pendekatan proaktif terhadap keamanan siber sangat penting. Berkat pola pikir inilah analisis malware mendalam kami mengungkap kerentanan yang belum diketahui dan sebelum tanda-tanda eksploitasi aktif muncul. Deteksi dini terhadap ancaman tersebut adalah kunci untuk mencegah kompromi yang lebih luas di seluruh sistem," ucap Sojun Ryu, peneliti keamanan di GReAT (Tim Riset dan Analisis Global) Kaspersky.

Baca juga: Penjahat Siber Eksploitasi Kerentanan Zero-day Chrome untuk Curi Aset Kripto

Sebelum temuan terkait Innorix, Kaspersky terlebih dahulu menemukan penggunaan varian backdoor ThreatNeedle dan SIGNBT dalam APT ke Korea Selatan. Malware tersebut berjalan dalam memori proses SyncHost.exe resmi, dan dibuat sebagai subproses Cross EX. Ini adalah perangkat lunak resmi Korea Selatan yang dirancang untuk mendukung penggunaan alat keamanan di berbagai lingkungan browser.

Analisis rinci kampanye tersebut mengonfirmasi bahwa vektor serangan yang sama diidentifikasi di lima organisasi lain di Korea Selatan. Rantai infeksi di setiap kasus terlihat berasal dari potensi kerentanan di Cross Ex yang menjadi sumber infeksi seluruh operasi. Laporan keamanan terkini dari KrCERT mengonfirmasi adanya kerentanan di Cross Ex yang sudah diberi patch selama jangka waktu penelitian.

Igor Kuznetsov, Direktur GReAT (Tim Riset dan Analisis Global) Kaspersky

“Secara bersamaan, temuan-temuan ini memperkuat masalah keamanan yang lebih luas: plugin browser pihak ketiga dan alat bantu secara signifikan meningkatkan permukaan serangan, khususnya di lingkungan yang bergantung pada perangkat lunak khusus wilayah atau yang sudah ketinggalan zaman. Komponen-komponen ini sering kali berjalan dengan hak istimewa yang lebih tinggi, tetap berada dalam memori, dan berinteraksi secara mendalam dengan proses peramban, menjadikannya sangat menarik dan sering kali menjadi target yang lebih mudah bagi penyerang daripada peramban modern itu sendiri,” ucap Igor Kuznetsov, Direktur GReAT (Tim Riset dan Analisis Global) Kaspersky.

Awal Serangan Operasi SyncHole 

Lazarus Group menggunakan situs online yang disusupi dengan banyak pengunjung sebagai umpan,  teknik ini dikenal sebagai serangan watering hole. Pelaku ancaman menyaring lalu lintas masuk untuk mengidentifikasi individu yang menjadi sasaran. Kemudian calon korban secara selektif diarahkan ke situs web yang dikendalikan penyerang, tempat serangkaian tindakan teknis memulai rantai serangan. Metode ini menekankan sifat operasi grup yang sangat tertarget dan strategis.

Contoh halaman yang dialihkan yang digunakan dalam serangan
Alur serangan selama kompromi awal

Berikut ini adalah serangkaian malware yang digunakan dalam serangan tersebut dan telah berhasil dideteksi Kaspersky:

  • Trojan.Win64.Lazarus.*, 
  • Trojan.Win32.Lazarus.*, 
  • MEM:Trojan.Win32.Cometer.gen, 
  • MEM:Trojan.Win32.SEPEH.gen, 
  • Trojan.Win32.Manuscrypt.*, 
  • Trojan.Win64.Manuscrypt.*, 
  • Trojan.Win32.Zenpak.*
Baca juga: ESET Research Ungkap Modus Operandi Lazarus Manfaatkan LinkedIn dan WhatsApp

Tips Menghadapi Lazarus dan APT Lain

Kaspersky menyarankan deteksi akurat, respon cepat terhadap jurus yang diketahui dan perbaikan kerentanan cepat untuk menghadapi Lazarus dan APT lain. Selain itu, Kaspersky juga memberikan saran tambahan berikut ini:

  • Selalu perbarui perangkat lunak pada semua perangkat yang digunakan untuk mencegah penyerang menyusup ke jaringan dengan mengeksploitasi kerentanan
  • Lakukan audit keamanan siber pada jaringan dan aset untuk mengungkap celah dan sistem yang rentan. Atasi juga kelemahan yang ditemukan di perimeter atau di dalam jaringan
  • Lindungi perusahaan dari berbagai ancaman dengan solusi dari lini produk Kaspersky Next. Solusi tersebut menyediakan perlindungan waktu nyata, dan visibilitas ancaman. Selain itu, solusi tersebut juga memiliki kemampuan investigasi dan respons EDR dan XDR untuk organisasi dengan segala ukuran dan industri
  • Berikan visibilitas mendalam tentang ancaman siber yang menargetkan organisasi kepada profesional InfoSec untuk membantu mengidentifikasi risiko siber tepat waktu. Salah satu cara adalah dengan menggunakan Kaspersky Threat Intelligence terbaru yang memberi konteks di seluruh siklus manajemen insiden 

Demikianlah beberapa tips dari Kaspersky yang bisa diterapkan dalam menghadapi ancaman Lazarus dan APT lain.

Share:

Artikel Terkini