Penasihat keamanan siber baru dari Badan Keamanan Siber & Infrastruktur AS (CISA) menjelaskan taktik, teknik, dan prosedur (TTP) yang diamati baru-baru ini yang diamati dengan operasi ransomware Korea Utara terhadap kesehatan masyarakat dan sektor infrastruktur penting lainnya.
Dokumen tersebut adalah laporan bersama dari NSA, FBI, CISA, US HHS, dan Badan Intelijen Nasional Republik Korea dan Badan Keamanan Pertahanan, dan mencatat bahwa dana yang diperas dengan cara ini digunakan untuk mendukung prioritas dan tujuan tingkat nasional pemerintah Korea Utara. .
Terlepas dari loker yang dikembangkan secara pribadi, CISA mengatakan bahwa para peretas juga menggunakan sekitar selusin jenis malware enkripsi file lainnya untuk menyerang sistem perawatan kesehatan Korea Selatan dan AS.
Menyiapkan panggung
Menurut penasehat CISA, pelaku ancaman Korea Utara memperoleh infrastruktur yang diperlukan untuk serangan menggunakan persona dan akun palsu dan mata uang kripto yang diperoleh secara ilegal. Untuk mengaburkan jejak uang, mereka sering mencari perantara asing yang cocok.
Peretas menyembunyikan asal mereka melalui layanan VPN dan server pribadi virtual (VPS) atau alamat IP negara ketiga.
Melanggar target dilakukan dengan memanfaatkan berbagai kerentanan yang memungkinkan eskalasi akses dan hak istimewa pada jaringan target.
Di antara masalah keamanan yang mereka eksploitasi adalah Log4Shell (CVE-2021-44228), kelemahan eksekusi kode jarak jauh pada peralatan SonicWall (CVE-2021-20038), dan kelemahan pengungkapan kata sandi admin pada produk TerraMaster NAS (CVE-2022-24990)
“[The] aktor juga kemungkinan menyebarkan kode berbahaya melalui file Trojan untuk ‘X-Popup,’ messenger open source yang biasa digunakan oleh karyawan rumah sakit kecil dan menengah di Korea Selatan,” tambah CISA dalam laporan tersebut.
“Para pelaku menyebarkan malware dengan memanfaatkan dua domain: xpopup.pe[.]kr dan xpopup.com. xpopup.pe[.]kr terdaftar ke alamat IP 115.68.95[.]128 dan xpopup[.]com terdaftar dengan alamat IP 119.205.197[.]111” – CISA
Setelah membuat akses awal, peretas Korea Utara melakukan pengintaian jaringan dan gerakan lateral dengan menjalankan perintah shell dan menyebarkan muatan tambahan yang membantu mengumpulkan informasi.
Ancaman ransomware
Sementara peretas Korea Utara telah dikaitkan dengan jenis ransomware Maui dan H0lyGh0st [1, 2]badan AS mencatat bahwa “juga telah diamati menggunakan atau memiliki alat enkripsi yang tersedia untuk umum:”
- BitLocker (disalahgunakan dari alat yang sah)
- Gerendel
- echo0raix
- Akan menangis
- Air Mata Tersembunyi
- Gergaji ukir
- Lockbit 2.0
- Ransomware Kecilku
- NxRansomware
- Ryuk
- Tebusan Anda
Untuk dicatat, BleepingComputer menyadari bahwa lebih dari setengah loker ini tersedia dari sumber publik tetapi tidak dapat mengonfirmasi ini untuk semuanya.
Salah satu aspek yang menarik adalah penggunaan Gerendel Dan echo0raix strain ransomware, yang sangat menargetkan perangkat QNAP network-attached storage (NAS) selama beberapa tahun terakhir.
Pada tahap terakhir serangan, aktor ancaman menuntut pembayaran uang tebusan dalam cryptocurrency Bitcoin. Mereka menggunakan akun Proton Mail untuk berkomunikasi dengan para korban. Dalam banyak kasus, tuntutan tersebut disertai dengan ancaman untuk membocorkan data yang dicuri, terutama ketika korbannya adalah perusahaan swasta di bidang kesehatan.
“Agen penulis menilai bahwa jumlah pendapatan yang tidak ditentukan dari operasi mata uang kripto ini mendukung prioritas dan tujuan tingkat nasional DPRK, termasuk operasi dunia maya yang menargetkan pemerintah Amerika Serikat dan Korea Selatan—target khusus termasuk Jaringan Informasi Departemen Pertahanan dan jaringan anggota Basis Industri Pertahanan .”
CISA merekomendasikan agar organisasi layanan kesehatan menerapkan langkah-langkah keamanan seperti autentikasi multi-faktor (MFA) untuk perlindungan akun, konektivitas terenkripsi, mematikan antarmuka yang tidak digunakan, menggunakan alat pemantauan lalu lintas jaringan, mengikuti prinsip hak istimewa, dan menerapkan pembaruan keamanan yang tersedia pada semua produk perangkat lunak yang mereka gunakan. menggunakan.
Memeriksa peringatan CISA untuk daftar lengkap rekomendasi dan mitigasi, indikator kompromi (IoC), dan tautan ke sumber informasi dan titik kontak konsultasi.
