Bersamaan dengan konferensi tahunan ESET World 2022, yang digelar virtual ada 31 Mei- 1 Juni 2022 lalu, para peneliti ESET telah mempresentasikan tentang penyelidikan baru terhadap grup Advanced Persistent Threat (APT) terkenal, Lazarus. Dalam kesempatan tersebut, Direktur ESET Threat Research, Jean-Ian Boutin, membahas berbagai kampanye baru yang dilakukan oleh kelompok Lazarus terhadap kontraktor pertahanan di seluruh dunia, antara akhir 2021 dan Maret 2022.
Dalam serangan 2021-2022 menurut telemetri ESET, Lazarus telah menargetkan perusahaan di Eropa (Prancis, Italia, Jerman, Belanda, Polandia, dan Ukraina) dan Amerika Latin (Brasil). Meskipun tujuan utama dari operasi Lazarus ini adalah spionase dunia maya, kelompok tersebut juga telah berupaya untuk menarik uang meski tidak berhasil.
“Kelompok ancaman Lazarus menunjukkan kemampuan mereka dengan menerapkan perangkat mutakhir, termasuk, contohnya, komponen mode pengguna yang dapat mengeksploitasi driver Dell yang rentan untuk menulis ke memori kernel. Trik canggih ini digunakan dalam upaya untuk melewati pemantauan solusi keamanan,” kata Jean-Ian Boutin.
Pada awal 2020, peneliti ESET telah mendokumentasikan kampanye yang dilakukan oleh sub-kelompok Lazarus melawan Kontraktor Pertahanan dan Kedirgantaraan Eropa yang disebut sebagai operasi In(ter)ception. Operasi ini patut diperhatikan karena menggunakan media sosial, terutama LinkedIn untuk membangun kepercayaan antara peretas dan karyawan yang tidak curiga sebelum mengirimi mereka komponen berbahaya, yang menyamar sebagai deskripsi pekerjaan atau aplikasi. Saat itu, perusahaan di Brasil, Republik Ceko, Qatar, Turki, dan Ukraina sudah menjadi sasaran.
Peneliti ESET percaya bahwa tindakan serangan sebagian besar diarahkan kepada perusahaan-perusahaan Eropa, tetapi melalui pelacakan sejumlah sub-kelompok Lazarus yang melakukan operasi serupa melawan kontraktor pertahanan, mereka segera menyadari bahwa kampanye itu menyebar jauh lebih luas. Meskipun malware yang digunakan dalam berbagai kampanye berbeda, modus operandi (MO) awal selalu tetap sama, yaitu perekrut palsu menghubungi seorang karyawan melalui LinkedIn dan akhirnya mengirim komponen jahat.
Mereka melanjutkan dengan MO seperti di masa lalu. Namun, peneliti ESET juga telah mendokumentasikan penggunaan kembali elemen kampanye perekrutan yang sah untuk menambahkan legitimasi pada kampanye perekrut palsu mereka. Selain itu, pelaku telah menggunakan layanan seperti WhatsApp atau Slack dalam kampanye jahat mereka.
Pada 2021, Departemen Kehakiman Amerika Serikat mendakwa tiga programmer TI atas serangan siber saat mereka bekerja untuk militer Korea Utara. Menurut pemerintah AS, mereka milik unit peretas militer Korea Utara, yang dikenal di komunitas infosec sebagai Grup Lazarus.
Seiring dengan penelitian Lazarus yang baru, ESET telah mempresentasikan tentang “Perang Dunia Maya Masa Lalu dan Sekarang di Ukraina” dalam konferensi tahunan ESET World. Peneliti ESET Robert Lipovski telah melihat secara mendalam perang siber antara Rusia melawan Ukraina - termasuk upaya terbaru untuk mengganggu jaringan listrik negara tersebut menggunakan Industroyer2 dan berbagai serangan wiper.
KOMENTAR