koranindopos.com – Jakarta. Tim GReAT Kaspersky telah mengungkap kampanye Lazarus baru yang canggih, yang menggabungkan serangan watering hole dengan eksploitasi kerentanan dalam perangkat lunak pihak ketiga untuk menargetkan berbagai organisasi di Korea Selatan. Selama penelitian, para ahli perusahaan juga menemukan kerentanan zero-day dalam perangkat lunak Innorix Agent Korea Selatan yang banyak digunakan, yang segera ditambal. Temuan tersebut menyoroti bagaimana Lazarus, yang memanfaatkan pemahamannya yang mendalam tentang ekosistem perangkat lunak Korea Selatan yang mampu mengeksekusi serangan siber multi-tahap canggih sekalipun.
Menurut laporan terbaru dari Kaspersky GReAT (Tim Riset dan Analisis Global), para penyerang menargetkan setidaknya enam organisasi di seluruh sektor perangkat lunak, TI, keuangan, semikonduktor, dan telekomunikasi di Korea Selatan. Namun, jumlah korban sebenarnya mungkin lebih tinggi. Para peneliti Kaspersky telah menjuluki kampanye ini sebagai “Operasi SyncHole”.
Grup Lazarus, yang aktif setidaknya sejak 2009, adalah aktor ancaman yang terkenal dan memiliki banyak sumber daya. Dalam operasi baru-baru ini, kelompok tersebut terlihat mengeksploitasi kerentanan satu hari di Innorix Agent, alat pihak ketiga yang terintegrasi dengan peramban yang digunakan untuk transfer berkas yang aman dalam sistem administratif dan keuangan. Dengan mengeksploitasi kerentanan ini, para penyerang dapat memfasilitasi pergerakan lateral, yang memungkinkan pemasangan malware tambahan pada host yang menjadi target. Hal ini akhirnya menyebabkan penyebaran malware bertanda tangan Lazarus, seperti ThreatNeedle dan LPEClient, yang memperluas jangkauan mereka dalam jaringan internal. Eksploitasi ini merupakan bagian dari rantai serangan yang lebih besar, yang dikirimkan melalui pengunduh Agamemnon, dan secara khusus menargetkan versi Innorix yang rentan (9.2.18.496).
Saat menganalisis perilaku malware, pakar GReAT Kaspersky menemukan kerentanan zero-day unduhan file acak tambahan lainnya, yang berhasil mereka temukan sebelum pelaku ancaman mana pun menggunakannya dalam serangan mereka. Kaspersky telah melaporkan masalah di Innorix Agent ke Korea Internet & Security Agency (KrCERT) dan vendor. Perangkat lunak tersebut telah diperbarui dengan versi yang ditambal, sementara kerentanan tersebut ditetapkan dengan pengenal KVE-2025-0014.
“Pendekatan proaktif terhadap keamanan siber sangat penting, dan berkat pola pikir inilah analisis malware mendalam kami mengungkap kerentanan yang belum diketahui dan sebelum tanda-tanda eksploitasi aktif muncul. Deteksi dini terhadap ancaman tersebut adalah kunci untuk mencegah kompromi yang lebih luas di seluruh sistem,” komentar Sojun Ryu, peneliti keamanan di GReAT (Tim Riset dan Analisis Global) Kaspersky.
Sebelum temuan terkait INNORIX, pakar Kaspersky sebelumnya telah menemukan penggunaan varian backdoor ThreatNeedle dan SIGNBT dalam serangan lanjut terhadap Korea Selatan. Malware tersebut berjalan dalam memori proses SyncHost.exe yang sah, dan dibuat sebagai subproses Cross EX, perangkat lunak sah Korea Selatan yang dirancang untuk mendukung penggunaan alat keamanan di berbagai lingkungan peramban.
Analisis terperinci dari kampanye tersebut mengonfirmasi bahwa vektor serangan yang sama secara konsisten diidentifikasi di lima organisasi lainnya di Korea Selatan. Rantai infeksi dalam setiap kasus tampaknya berasal dari potensi kerentanan di Cross EX, yang menunjukkan bahwa itu adalah titik awal infeksi dalam seluruh operasi. Khususnya, info keamanan terkini yang diterbitkan oleh KrCERT mengonfirmasi keberadaan kerentanan di CrossEX, yang sejak itu telah ditambal selama jangka waktu penelitian ini.
“Secara bersamaan, temuan-temuan ini memperkuat masalah keamanan yang lebih luas: plugin browser pihak ketiga dan alat bantu secara signifikan meningkatkan permukaan serangan, khususnya di lingkungan yang bergantung pada perangkat lunak khusus wilayah atau yang sudah ketinggalan zaman. Komponen-komponen ini sering kali berjalan dengan hak istimewa yang lebih tinggi, tetap berada dalam memori, dan berinteraksi secara mendalam dengan proses peramban, menjadikannya sangat menarik dan sering kali menjadi target yang lebih mudah bagi penyerang daripada peramban modern itu sendiri,” komentar Igor Kuznetsov, Direktur GReAT (Tim Riset dan Analisis Global) Kaspersky.
Bagaimana serangan Operasi SyncHole dimulai
Lazarus Group menggunakan situs web media daring yang disusupi yang biasanya dikunjungi oleh banyak pengguna sebagai umpan — teknik ini dikenal sebagai serangan watering hole. Pelaku ancaman menyaring lalu lintas masuk untuk mengidentifikasi individu yang menajdi target, secara selektif mengarahkan target tersebut ke situs web yang dikendalikan penyerang, tempat di mana serangkaian tindakan teknis memulai rantai serangan. Metode ini menyoroti sifat operasi grup yang sangat tertarget dan strategis.
 |
 |
| Contoh halaman yang dialihkan yang digunakan dalam serangan | Alur serangan selama kompromi awal |
Untuk mempelajari lebih lanjut tentang kampanye terbaru Lazarus, kunjungi Securelist.com
Produk Kaspersky mendeteksi eksploitasi dan malware yang digunakan dalam serangan ini dengan vonis berikut: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Untuk bertahan melawan Lazarus dan serangan Advanced Persistent Threat (APT) lainnya, Kaspersky merekomendasikan deteksi yang akurat, respons cepat terhadap taktik yang diketahui, dan perbaikan kerentanan yang cepat. Saran tambahan meliputi:
- Selalu perbarui perangkat lunak pada semua perangkat yang Anda gunakan untuk mencegah penyerang menyusup ke jaringan Anda dengan mengeksploitasi kerentanan.
- Lakukan audit keamanan siber pada jaringan dan aset Anda untuk mengungkap celah dan sistem yang rentan, serta atasi kelemahan yang ditemukan di perimeter atau di dalam jaringan.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang menyediakan perlindungan waktu nyata, visibilitas ancaman, kemampuan investigasi dan respons EDR dan XDR untuk organisasi dengan ukuran dan industri apa pun
- Berikan profesional InfoSec Anda visibilitas mendalam tentang ancaman siber yang menargetkan organisasi Anda. Kaspersky Threat Intelligence terbaru akan memberi mereka konteks yang kaya dan bermakna di seluruh siklus manajemen insiden dan membantu mereka mengidentifikasi risiko siber secara tepat waktu. (sh)
