Tim Penelitian dan Analisis Global (GReAT) Kaspersky melaporkan temuan baru tentang AppleJeus, sebuah operasi yang bertujuan mencuri mata uang kripto yang dilakukan oleh aktor ancaman terkenal kelompok Lazarus.
Temuan baru itu menunjukkan bahwa operasi tersebut masih berlanjut dengan langkah lebih berhati-hati, menerapkan taktik dan prosedur yang lebih baik, hingga penggunaan Telegram sebagai salah satu vektor serangan barunya.
“Operasi sekuel AppleJeus menunjukkan bahwa meskipun terjadi stagnasi yang signifikan di pasar mata uang kripto, Lazarus terus berinvestasi dalam serangan terkait mata uang kripto," ujar Seongsu Park, peneliti keamanan Kaspersky, akhir pekan ini.
"Upaya ini akan membuatnya jauh menjadi lebih canggih. Perubahan lanjutan dan diversifikasi malware mereka menunjukkan bahwa perkiraan serangan bertambah banyak dan ancaman menjadi lebih serius adalah hal yang sangat mungkin," tambahnya.
Para korban di Inggris, Polandia, Rusia dan Cina, termasuk beberapa yang terhubung dengan entitas bisnis mata uang kripto, terkena dampak selama operasi terjadi.Grup Lazarus adalah salah satu aktor ancaman persisten (APT) paling aktif dan produktif, yang melakukan sejumlah kampanye dengan menargetkan organisasi terkait mata uang kripto.
Selama operasi AppleJeus 2018 pertamanya, aktor ancaman tersebut menciptakan perusahaan mata uang kripto palsu untuk mengirimkan aplikasi mereka yang telah dimanipulasi sekaligus mengeksploitasi tingkat kepercayaan tinggi di antara para korban potensial.
Operasi ini ditandai dengan Lazarus membangun malware macOS pertama. Aplikasi ini diunduh oleh pengguna dari situs web pihak ketiga dan muatan berbahaya dikirim melalui apa yang disamarkan sebagai pembaruan aplikasi pada umumnya. Payload memungkinkan para aktor ancaman ini untuk mendapatkan kontrol penuh dari perangkat pengguna dan mencuri mata uang kripto.
Peneliti Kaspersky mengidentifikasi perubahan signifikan pada taktik serangan grup dalam “sekuel” operasinya. Vektor serangan pada serangan 2019 meniru yang dari tahun sebelumnya, tetapi dengan beberapa perbaikan.
Kali ini Lazarus membuat situs web terkait mata uang kripto palsu, yang akan meng-host tautan ke saluran Telegram organisasi palsu dan mengirimkan malware melalui penguhubung pesan (messenger).
Sama seperti dalam operasi AppleJeus pertama kali, serangan itu terdiri dari dua fase. Pengguna pertama-tama akan mengunduh aplikasi, dan pengunduh yang terkait akan mengambil muatan berikutnya dari server jarak jauh, sehingga memungkinkan aktor ancaman untuk sepenuhnya mengontrol perangkat yang terinfeksi dengan backdoor permanen.
Namun, kali ini muatan dikirim dengan hati-hati untuk menghindari deteksi oleh solusi deteksi berbasis perilaku. Dalam serangan terhadap target berbasis-macOS, sebuah mekanisme otentikasi ditambahkan ke pengunduh macOS dan kerangka pengembangan diubah, di samping itu, teknik infeksi tanpa file juga diadopsi saat itu.
Ketika menargetkan pengguna Windows, para aktor ancaman menghindari penggunaan malware Fallchill (yang digunakan pada operasi AppleJeus pertama) dan menciptakan malware yang hanya dapat beroperasi pada sistem tertentu setelah pemeriksaan terhadap serangkaian nilai yang diberikan. Perubahan ini menunjukkan bahwa aktor ancaman menjadi lebih berhati-hati dalam serangan mereka, menggunakan metode baru untuk menghindari pendeteksian.
Lazarus juga membuat modifikasi signifikan dalam malware macOS dan memperluas jumlah versinya. Tidak seperti dalam serangan sebelumnya, di mana Lazarus menggunakan open source QtBitcoinTrader untuk membuat pemasang (installer) macOS buatan, dalam sekuel AppleJeus aktor ancaman akan menggunakan kode buatan mereka untuk membangun pemasang berbahaya.
Perkembangan ini menandakan bahwa aktor ancaman akan selalu berinovasi dalam memodifikasi malware macOS dan deteksi terbaru kami yaitu hasil tengah transisi ini.
Tags: Lazarus, Kapersky, Crypto, Currency