APT (Advanced Persistent Threat) Kimsuky menjadi salah satu grup penjahat siber yang patut diwaspadai saat ini, baik bagi individu maupun perusahaan/organisasi.
Pasalnya, dalam ajang Cyber Security Weekend yang digelar Kaspersky pekan lalu di Phuket, Thailand, pakar Kaspersky menyatakan bahwa Kimsuky terus melakukan pembaruan tools (alat) dan taktik dalam melakukan serangan siber.
“Sama seperti grup APT lainnya, grup ini juga memperbarui tools-nya dengan sangat cepat. Pada awal tahun 2022, kami mengamati grup ini menyerang perusahaan media dan lembaga think-tank di Korea Selatan,” kata Seongsu Park, Lead Security Researcher for Global Research and Analysis Team (GReAT), Kaspersky.
Kimsuky (juga dikenal sebagai Thallium, Black Banshee dan Velvet Chollima) adalah grup APT yang aktif melakukan serangan siber, terutama menargetkan entitas terkait Korea Selatan.
Grup APT ini sendiri sudah masuk ke dalam radar Kaspersky sejak tahun 2013. Kimsuky terlibat dalam serangkaian serangan siber seperti social engineering, spear-phishing dan watering hole attacks. Dan perlu diketahui, Kimsuky merupakan aktor utama dibalik serangan KHNP (Korea Hydro & Nuclear Power) di tahun 2014.
Dalam presentasinya di hadapan lebih dari 30 media di wilayah Asia Pasifik, termasuk InfoKomputer, Park mengungkapkan bahwa Kimsuky terus memperluas operasi meraka dengan kapabilitas yang berlimpah.
Grup APT ini terus-menerus melakukan konfigurasi terhadap server command and control (C2) multi-tahap dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.
Sebagai informasi, server C2 adalah server yang membantu grup APT dalam mengendalikan malware mereka dan mengirim perintah jahat ke anggotanya, mengatur spyware, mengirim muatan berbahaya dan banyak lagi.
“Jika sebelumnya ada kurang dari 100 server C2 di tahun 2019, sekarang Kimsuky memiliki 603 malicious command centers hingga Juli tahun ini. Tentu dengan sangat jelas menunjukkan bahwa grup APT ini akan meluncurkan lebih banyak serangan siber, mungkin di luar Semenanjung Korea. Riwayatnya sendiri menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis cryptocurrency di wilayah APAC harus waspada terhadap ancaman tersembunyi dari grup APT ini,” kata Park.
Data Server C2 Kimsuky yang Ditemukan oleh Kaspersky.
Kimsuky GoldDragon
Jumlah server C2 yang meroket adalah bagian dari operasi berkelanjutan Kimsuky di wilayah APAC (Asia Pasifik) dan sekitarnya.
Pada awal 2022, tim ahli Kaspersky mengamati gelombang serangan lain yang menargetkan jurnalis dan entitas diplomatik serta akademik di Korea Selatan.
Dijuluki sebagai "GoldDragon", kelompok penjahat siber ini memulai rantai infeksi dengan mengirimkan email spear-phishing yang berisi dokumen dalam format Word yang disematkan makro.
Berbagai contoh dokumen Word berbeda yang digunakan untuk serangan siber baru ini terungkap, masing-masing menunjukkan konten umpan yang berbeda-beda namun tetap terkait dengan masalah geopolitik di Semenanjung Korea.
Lebih lanjut, Park juga turut menjelaskan teknik serangan yang dilakukan APT Kimsuky:
- Pelaku mengirimkan email spear-phishing kepada calon korban supaya mengunduh dokumen tambahan dengan menyertakan link.
- Jika korban mengklik link tersebut, maka akan terjadi koneksi ke server C2 tahap pertama, dengan alamat email sebagai parameter.
- Server C2 tahap pertama memverifikasi parameter alamat email yang masuk sebagai yang diharapkan dan mengirimkan dokumen berbahaya jika ada dalam daftar target. Skrip tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya.
- Saat dokumen yang terunduh dibuka, dokumen tersebut terhubung ke server C2 kedua.
- Skrip yang sesuai pada server C2 kedua memeriksa alamat IP yang diteruskan dari server tahap pertama untuk memeriksa apakah itu permintaan yang diharapkan dari korban yang sama. Menggunakan skema validasi IP ini, aktor memverifikasi apakah permintaan yang masuk berasal dari korban atau tidak.
- Selain itu, operator bergantung pada beberapa proses lain untuk mengirimkan muatan berikutnya dengan hati-hati seperti memeriksa jenis OS dan string agen pengguna yang telah ditentukan sebelumnya.
Struktur Server C2 Berdasarkan Informasi yang Diungkapkan Kaspersky.
Teknik serangan penting lainnya yang digunakan Kimsuky adalah penggunaan proses verifikasi klien untuk mengonfirmasi bahwa korban relevan yang ingin mereka serang.
Pakar Kaspersky bahkan melihat isi dokumen umpan yang beragam topiknya antara lain agenda “Konferensi Kepemimpinan Asia 2022”, bentuk permintaan honorarium, dan daftar riwayat hidup diplomat Australia.
“Kami telah melihat bahwa Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis kami. Kesulitan dalam melacak grup ini adalah memperoleh rantai infeksi penuh. Seperti yang dapat kita lihat dari penelitian ini, baru-baru ini, Kimsuky mengadopsi metodologi verifikasi korban di server C2 mereka. Terlepas dari kesulitan mendapatkan objek sisi server, jika kami menganalisis server penyerang dan malware dari sisi korban, kami dapat sepenuhnya memahami bagaimana Kimsuky mengoperasikan infrastruktur mereka dan jenis teknik yang mereka gunakan,” papar Park.
Tips Melindungi Sistem dajn Jaringan dari Serangan Kimsuky
Dalam pemaparannya, Park juga memberikan tips bagi individu atau perusahaan/organisaasi agar sistem dan jaringan mereka terhindar dari serangan Kimsuku.
1. Pertahanan berbasis konteks penuh adalah kuncinya
-Pertahanan dengan teknik ‘hit-and-run’ tidak akan pernah berhasil.
-Tim dan pakar keamanan perlu memahami konteks ancaman secara penuh; disarankan untuk memiliki layanan yang menyediakan laporan dan analisis mendalam dan real-time seperti Portal Intelijen Ancaman Kaspersky.
-Lakukan diversifikasi titik pertahanan.
2. Jalin kerja sama dengan industri lain
-Setiap sektor memiliki kekuatan dan keahlian yang berbeda.
-Kerja sama sangat penting untuk memahami multidimensi ancaman siber yang pada akhirnya memungkinkan strategi yang lebih baik untuk melawannya.
Baca Juga: Awas, Dua Serangan Siber Ini Marak Targetkan Pengguna Android dan iOS
Baca Juga: Kaspersky: Ancaman Email Spam di Asia Pasifik Capai 24 Persen
Baca Juga: Waduh, Ini Tiga Resiko Utama Jika di Dunia Tidak Ada Cyber Security
Baca Juga: Riset: 2 dari 3 Perusahaan di Asia Tenggara Jadi Korban Ransomware