Lazarus Group, sebuah kelompok peretasan Korea Utara, telah memperkenalkan varian malware baru yang dikenal sebagai LightlessCan dalam skema penipuannya.

Tidak seperti contoh malware Lazarus sebelumnya, malware baru ini menimbulkan tantangan yang signifikan untuk dideteksi.

Deteksi Pertama

Peneliti malware senior ESET, Peter Kálnai, mengungkapkan temuan inidalam sebuah posting pada tanggal 29 September setelah menganalisis serangan pekerjaan palsu terhadap perusahaan kedirgantaraan Spanyol.

Pendekatan khas Lazarus Group adalah memikat korban dengan tawaran pekerjaan yang menarik di perusahaan-perusahaan terkemuka, menipu mereka untuk mengunduh muatan berbahaya yang disamarkan sebagai dokumen.

Korban dalam kasus ini dihubungi melalui LinkedIn Messaging, sebuah fitur dalam platform jejaring sosial profesional LinkedIn.

Mereka menerima dua tantangan pengkodean sebagai bagian dari proses perekrutan, yang diunduh dan dijalankan oleh korban di perangkat perusahaan. Salah satu tantangannya adalah proyek dasar yang menampilkan teks "Halo, Dunia!", sementara tantangan lainnya mencetak deret Fibonacci.

ESET Research bekerja sama dengan perusahaan kedirgantaraan yang terkena dampak untuk merekonstruksi langkah-langkah akses awal dan menganalisis perangkat lunak Lazarus Group.

LightlessCan

Dijuluki "LightlessCan" oleh tim ESET, malware ini merupakan peningkatan penting dari pendahulunya, BlindingCan.

Kálnai menjelaskan bahwa LightlessCan dapat meniru berbagai perintah Windows asli, memungkinkan eksekusi secara diam-diam di dalam Remote Access Trojan (RAT) itu sendiri, sehingga mengurangi aktivitas konsol yang berisik.

Selain itu, malware baru ini menggabungkan "pagar pembatas eksekusi" untuk memastikan bahwa hanya mesin korban yang dituju yang dapat mendekripsi muatannya.

Semua ini membantu mencegah dekripsi yang tidak diinginkan oleh peneliti keamanan.

Ketertutupan yang ditingkatkan ini menimbulkan tantangan bagi solusi pemantauan waktu nyata seperti EDR dan alat forensik digital postmortem.

Grup Lazarus

Lazarus Group, juga dikenal sebagai HIDDEN COBRA, adalah kelompok spionase siber Korea Utara yang memiliki sejarah setidaknya sejak tahun 2009.

Patut dicatat bahwa para peretas Korea Utara dilaporkan telah mencuri sekitar $3,5 miliar dari proyek-proyek mata uang kripto sejak 2016, sesuai dengan firma forensik blockchain Chainalysis pada tanggal 14 September.

Coinlive sebelumnya melaporkan tentang bagaimana Lazarus Group melakukan serangan senilai $55 juta terhadap pertukaran mata uang kripto CoinEx.

Perserikatan Bangsa-Bangsa mengakui ancaman yang ditimbulkan oleh kelompok ini, dan telah secara aktif bekerja untuk mengekang taktik kejahatan siber Korea Utara dalam skala internasional.

PBB meyakini bahwa dana yang dicuri tersebut sedangdigunakan untuk mendukung program rudal nuklir Korea Utara .