Grup Lazarus yang terkenal di Korea Utara menggunakan situs web game palsu yang dirancang dengan baik, bug zero-day Chrome yang sekarang telah ditambal, akun LinkedIn profesional, gambar yang dihasilkan AI, dan trik lain untuk mencoba mencuri dari pengguna mata uang kripto di seluruh dunia.
Kelompok tersebut tampaknya telah meluncurkan kampanye yang rumit pada bulan Februari dan sejak itu menggunakan banyak akun di X dan menipu tokoh-tokoh berpengaruh di dunia mata uang kripto untuk mempromosikan situs permainan kripto mereka yang terinfeksi malware.
Kampanye Rumit
“Selama bertahun-tahun, kami telah menemukan banyak hal [Lazarus] serangan terhadap industri mata uang kripto, dan satu hal yang pasti: serangan ini tidak akan hilang,” katanya peneliti di Kasperskysetelah menemukan kampanye terbaru saat menyelidiki infeksi malware baru-baru ini. “Lazarus telah berhasil mulai menggunakan AI generatif, dan kami memperkirakan mereka akan melakukan serangan yang lebih rumit dengan menggunakannya,” kata vendor keamanan tersebut.
Kelompok Lazarus yang disponsori negara mungkin belum begitu dikenal, namun mereka merupakan salah satu aktor ancaman dunia maya yang paling produktif dan berbahaya yang beroperasi. Sejak menjadi berita utama dengan serangan terhadap Gambar Sony kembali pada tahun 2014, Lazarus — dan subgrup seperti Andariel Dan Bluenoroff – memiliki terlibat dalam insiden keamanan terkenal yang tak terhitung jumlahnya. Ini sudah termasuk Ransomware WannaCry wabah, pencurian $81 juta di Bank Bangladeshdan mencoba untuk mencuri rahasia terkait vaksin COVID dari perusahaan farmasi besar selama puncak pandemi.
Para analis yakin bahwa banyak serangan yang dilakukan kelompok ini yang bermotif finansial, termasuk serangan yang melibatkan ransomware, card-skimming, dan pengguna mata uang kripto, benar-benar merupakan tindakan yang tidak bertanggung jawab. upaya untuk menghasilkan pendapatan untuk program rudal pemerintah Korea Utara yang kekurangan uang.
Dalam kampanye terbarunya, kelompok ini tampaknya telah menyempurnakan beberapa trik rekayasa sosial yang digunakan dalam kampanye sebelumnya. Inti dari penipuan baru ini adalah detankzone dot-com, halaman produk yang dirancang secara profesional yang mengundang pengunjung untuk mengunduh game tank online multipemain berbasis NFT. Peneliti Kaspersky menemukan bahwa game tersebut dirancang dengan baik dan berfungsi dengan baik, tetapi hanya karena aktor Lazarus telah mencuri kode sumber dari game yang sah untuk membuatnya.
Chrome Zero-Day dan Bug Kedua
Kaspersky menemukan situs web tersebut berisi kode eksploitasi untuk dua kerentanan Chrome. Salah satunya, dilacak sebagai CVE-2024-4947, adalah bug zero-day yang sebelumnya tidak diketahui di mesin browser V8 Chrome. Ini memberi penyerang cara untuk mengeksekusi kode arbitrer di dalam kotak pasir browser melalui halaman HTML yang dibuat khusus. Google mengatasi kerentanan tersebut pada bulan Mei setelah Kaspersky melaporkan kelemahan tersebut kepada perusahaan.
Yang lainnya Kerentanan Chrome yang Kaspersky amati dalam eksploitasi terbaru Lazarus Group adalah bahwa ia tampaknya tidak memiliki pengenal formal. Ini memberi penyerang cara untuk keluar dari sandbox Chrome V8 sepenuhnya dan mendapatkan akses penuh ke sistem. Pelaku ancaman menggunakan akses tersebut untuk menyebarkan shellcode guna mengumpulkan informasi pada sistem yang disusupi sebelum memutuskan apakah akan menyebarkan muatan berbahaya lebih lanjut pada sistem yang disusupi, termasuk pintu belakang yang disebut Manuscrypt.
Apa yang membuat kampanye ini penting adalah upaya yang tampaknya dilakukan oleh para aktor Lazarus Group dalam sudut pandang rekayasa sosialnya. “Mereka fokus pada membangun rasa percaya untuk memaksimalkan efektivitas kampanye, merancang detail untuk membuat aktivitas promosi tampak senyata mungkin,” tulis peneliti Kaspersky Boris Larin dan Vasily Berdnikov. Mereka menggunakan beberapa akun palsu untuk mempromosikan situs mereka melalui X dan LinkedIn bersama konten dan gambar yang dihasilkan AI untuk menciptakan ilusi keaslian di sekitar situs game palsu mereka.
“Para penyerang juga berusaha melibatkan influencer mata uang kripto untuk promosi lebih lanjut, memanfaatkan kehadiran media sosial mereka tidak hanya untuk mendistribusikan ancaman tetapi juga untuk menargetkan akun kripto mereka secara langsung,” tulis Larin dan Berdnikov.
