APT Kimsuky Korea Utara Terus Meningkat, Terlepas dari Outing Publik

Secara global, keingintahuan telah melonjak seputar kelompok risiko gigih superior Kimsuky Korea Utara (a.okay.a. APT43) dan keunggulannya. Meskipun demikian, grup tersebut tidak menunjukkan tanda-tanda login tiktok88 melambat terlepas dari pengawasan.

Kimsuky adalah aktor risiko yang berpihak pada pemerintah yang tujuan utamanya adalah spionase, biasanya (namun tidak hanya) di bidang kebijakan dan analisis senjata nuklir. Sasarannya telah menjangkau sektor pemerintah federal, energi, farmasi, dan keuangan, dan lebih dari itu, sebagian besar di negara-negara yang dianggap DPRK sebagai musuh bebuyutan: Korea Selatan, Jepang, dan AS.

Kimsuky sama sekali bukan pakaian baru — CISA telah melacak aktivitas grup hingga tahun 2012. Keingintahuan memuncak bulan lalu berkat laporan dari perusahaan keamanan siber Mandiant, dan kampanye berbasis ekstensi Chrome yang menghasilkan peringatan bersama dari otoritas Jerman dan Korea. Dalam blog yang diterbitkan 20 April, VirusTotal menyoroti lonjakan pencarian malware yang terkait dengan Kimsuky, seperti yang ditunjukkan dalam grafik di bawah.

Volume pencarian untuk sampel malware Kimsuky
Jumlah pencarian sampel malware Kimsuky. Pasokan: Seluruh Virus

Banyak APT telah runtuh di bawah pengawasan tinggi dari para peneliti dan penegak hukum. Namun indikator saat ini Kimsuky tidak terpengaruh.

“Seringkali setelah kami menerbitkan wawasan, mereka akan berkata ‘Oh, wow, kami terungkap. Saatnya bersembunyi,'” kata Michael Barnhart, analis utama di Mandiant, tentang APT tipikal.

Namun, dalam kasus Kimsuky, “tidak ada yang peduli sama sekali. Kami tidak melihat penurunan apa pun dengan faktor ini.”

Ada Apa Dengan Kimsuky?

Kimsuky telah melalui banyak iterasi dan evolusi, bersama dengan pemisahan langsung menjadi dua subkelompok. Anggotanya paling terlatih dalam spear phishing, menyamar sebagai anggota organisasi tertentu dalam email phishing — biasanya selama berminggu-minggu — untuk lebih dekat dengan data sensitif yang mereka cari.

Namun, malware yang mereka terapkan dari waktu ke waktu jauh lebih tidak dapat diprediksi. Mereka telah menunjukkan fungsionalitas yang sama dengan ekstensi browser berbahaya, Trojan akses jarak jauh, perangkat mata-mata modular, dan banyak lagi, beberapa di antaranya bisnis dan beberapa tidak.

Dalam posting blog, VirusTotal menyoroti kecenderungan APT untuk menyebarkan malware melalui makro .docx. Namun, dalam beberapa kasus, tim menggunakan CVE-2017-0199, kerentanan eksekusi kode arbitrer dengan tingkat keparahan tinggi 7,8 di Windows dan Microsoft Workplace.

Dengan peningkatan rasa ingin tahu seputar Kimsuky saat ini, VirusTotal telah mengungkapkan bahwa hampir semua sampel yang diunggah berasal dari Korea Selatan dan Amerika Serikat. Ini mengikuti sejarah dan motif grup. Namun demikian, ia juga memiliki sulur di negara-negara yang tidak langsung berafiliasi dengan politik Korea Utara, seperti Italia dan Israel.

Misalnya, dalam hal pencarian — orang-orang yang tertarik pada sampel — jumlah terbanyak kedua berasal dari Turki. “Ini mungkin semakin menyarankan bahwa Turki adalah korban atau saluran serangan dunia maya Korea Utara,” menurut posting blog tersebut.

Pencarian sampel malware Kimsuky berdasarkan negara
Pencarian pola malware Kimsuky berdasarkan negara. Pasokan: VirusTotal

Tips Cara Bertahan Menuju Kimsuky

Karena Kimsuky menargetkan organisasi di seluruh lokasi dan sektor internasional, jumlah organisasi yang ingin mengkhawatirkan mereka lebih besar daripada kebanyakan APT negara bagian.

“Jadi apa yang telah kami khotbahkan di semua tempat,” kata Barnhart, “adalah kekuatan dalam jumlah. Dengan semua organisasi ini di seluruh dunia, kita semua perlu berdiskusi satu sama lain. Kita perlu berkolaborasi. Tidak seorang pun harus bekerja di silo.”

Dan, dia menekankan, karena Kimsuky menggunakan orang sebagai saluran untuk serangan yang lebih besar, semua orang harus berhati-hati. “Kita semua harus memiliki dasar ini: jangan mengklik hyperlink, dan gunakan autentikasi multi-faktor Anda.”

Dengan perlindungan yang mudah terhadap phishing tombak, bahkan peretas Korea Utara pun dapat digagalkan. “Dari apa yang kami lihat, ini berhasil bagi mereka yang benar-benar meluangkan waktu untuk mengamati kebersihan dunia maya Anda,” catat Barnhart.