Menurut perusahaan keamanan siber AlienVault, pembuat dokumen HWP terinfeksi yang digunakan dalam serangan baru-baru ini di bursa adalah kelompok Lazarus yang didanai pemerintah Korea Utara.
Salah satu bursa mata uang kripto terbesar di Korea Selatan, Bithumb, terkena serangan injeksi kode berbahaya pada dokumen HWP, di mana peretas mencuri lebih dari $30 juta mata uang kripto.
Kelompok Lazarus, atau BlueNoroff, yang mencuri $81 juta dari Bank Sentral Bangladesh pada tahun 2016, diyakini menimbulkan ancaman paling serius bagi bank dan sekarang, mungkin, bagi perusahaan mata uang kripto. Grup Lazarus menggunakan kerentanan ActiveX dalam serangan terhadap perusahaan Korea Selatan. Kini, peretas juga menggunakan serangkaian virus yang tertanam dalam dokumen HWP untuk menyerang peserta pertemuan keuangan G20 baru-baru ini.
AlienVault telah menganalisis tiga dokumen serupa yang terinfeksi kode berbahaya Salah satunya menyebutkan pertemuan Kelompok Kerja Keuangan Internasional G20 yang bertujuan untuk mengoordinasikan kebijakan ekonomi di antara negara-negara maju.
File HWP tertanam dengan kode berbahaya yang memasang kode virus pada sistem yang diserang (misalnya Manuscrypt versi 32-bit, yang memiliki sudah dijelaskan secara rinci oleh peneliti keamanan lainnya). Resume palsu yang terinfeksi juga digunakan. File HWP yang terinfeksi diyakini digunakan oleh grup Lazarus pada awal Mei dan Juni untuk merampok bursa Bithumb.
Perusahaan mata uang kripto dikirimi resume palsu yang sangat mirip dengan dokumen yang digunakan untuk menginstal program Manuscrypt.
“Kami belum bisa memastikannya, tapi kami menduga malware ini terkait dengan pencurian dana dari bursa Bithumb,” catat AlienVault.
Dokumen serupa yang terinfeksi HWP telah dikirim ke pengguna platform kripto di Korea Selatan di masa lalu.
Selain itu, para peneliti memperhatikan bahwa domain yang terkait dengan phishing mata uang kripto didaftarkan ke nomor telepon yang sama dengan domain (itaddnet [.] Com) yang terkait dengan beberapa malware. Artinya, penyerang juga mencuri kredensial, bersamaan dengan mengirimkan malware.
"Aneh kalau Lazarus punya domain terdaftar, biasanya grup tersebut lebih memilih menyusupi situs resmi orang lain. Jadi ini akan menjadi serangan yang tidak biasa jika memang dilakukan oleh anggota geng Lazarus," kata AlienVault.
Kelompok Lazarus kemungkinan besar telah meretas bursa Bithumb awal bulan ini, mengingat mereka telah menyerang bursa tersebut tahun lalu, yang kemungkinan besar memberikan informasi yang diperlukan untuk melakukannya lagi. Sepanjang tahun, kelompok ini juga menyerang bursa mata uang kripto lainnya.
"Serangan peretas kelompok Lazarus sepertinya tidak akan berhenti dalam waktu dekat, mengingat besarnya dana yang dicuri. Keuntungan yang diterima dari serangan terhadap Bank Sentral Bangladesh - hampir 1 miliar dolar AS - adalah 3% dari PDB Korea Utara. Mencuri dana dari organisasi Korea Selatan membantu Korea Utara melemahkan pesaing terdekat, tetangga, dan saingan ideologisnya," kata AlienVault.
Berdasarkan materi dari securityweek.com
Baca juga
Masyarakat Afrika Selatan telah menjadi korban jatuhnya harga Bitcoin
Selama setahun terakhir, Bitcoin telah menjadi mata uang kripto yang sangat populer di Afrika Selatan. Namun, tampaknya berinvestasi dalam mata uang kripto telah mengakibatkan masalah keuangan bagi sebagian penduduk. Banyak orang Afrika Selatan berada di ambang kebangkrutan setelah membeli Bitcoin.
Bug Bitcoin yang Baik, Buruk, dan Jelek
Selama lebih dari setahun, semua versi Bitcoin Core mengandung salah satu bug terburuk dalam sejarah Bitcoin. Pada artikel ini, kami akan mengungkapkan detail baik, buruk, dan jelek tentang salah satu bug Bitcoin Core yang paling menjengkelkan hingga saat ini.
