Penggodam Korea Utara mengeksploitasi celah di Internet Explorer

 


Penyelidik keselamatan dari Korea Selatan menemui lubang keselamatan di penyemak imbas Internet Explorer yang dieksploitasi oleh penggodam Korea Utara.


Ini ditemui oleh seorang penyelidik keselamatan dari sebuah syarikat keselamatan siber bernama Enki, yang menemui eksploitasi di lubang keselamatan IE, yang sebenarnya dinyatakan sebagai kerentanan zero day beberapa waktu lalu.


Sebenarnya, tindakan ini adalah sebahagian daripada serangan oleh penggodam dari Korea Utara. Google, melalui pasukan Threat Analysis Group, memberi amaran kepada penyelidik keselamatan mengenai ancaman serangan dari penggodam dari Korea Utara.



Menurut bahagian keselamatan siber Google, penggodam dari Korea Utara terus-menerus melakukan serangan siber melalui kaedah kejuruteraan sosial kepada penyelidik keselamatan di seluruh dunia.


Salah satu serangan ini dilakukan ke atas penyelidik keselamatan di Enki. Mereka disasarkan oleh pelaku yang berpura-pura ingin membincangkan eksploitasi di macOS. Serangan itu berjaya digagalkan, dan mereka dapat menganalisis perisian hasad yang digunakan dalam serangan tersebut.


Dalam analisisnya, Enki mengatakan penyerang itu "melakukan perjalanan" dalam eksploitasi yang berada di lubang keselamatan hari sifar IE, yang bertujuan menyelinap malware. Kemudian mereka menghubungi Microsoft untuk memberikan maklumat yang lebih terperinci mengenai lubang keselamatan ini.


Sebelumnya dilaporkan, kumpulan penggodam dari Korea Utara memulai serangannya dengan perkenalan, yakni penggodam membuat sejumlah blog dan akun Twitter. Blog ini mengandungi pelbagai artikel mengenai lubang keselamatan yang telah dijumpai, serta tulisan dari penyelidik lain, lengkap dengan nama pengarang.


Langkah ini diambil untuk mewujudkan kredibiliti untuk dipercayai oleh penyelidik keselamatan lain. Setelah dipercayai oleh penyelidik keselamatan lain, mereka akan mengundang mangsa mereka untuk bekerjasama dalam beberapa kajian.


Kemudian penggodam akan menghantar fail Projek Visual Studio yang telah disusupi oleh perisian hasad. Apabila fail dibuka, malware akan memberikan 'jalan' kepada penggodam untuk menyusup ke peranti mangsa.


Tidak hanya itu, ada juga sejumlah penyelidik yang dijangkiti malware hanya dengan mengunjungi blog penggodam. Bahkan sistem Windows 10 dan penyemak imbas Chrome dengan patch keselamatan terkini tidak dapat menghentikan jangkitan malware.


Pelbagai penggodam media yang digunakan untuk menyerang penyelidik keselamatan ini termasuk Twitter, LinkedIn, Telegram, Discord, dan Keybase.