Jakarta- Peneliti Kaspersky mengidentifikasi dan meyakini adanya keterkaitan kelompok Lazarus yang "mengganggu" penelitian Covid-19 oleh badan Kementerian Kesehatan dan perusahaan farmasi.

Menurut Kaspersky, ada pihak kejahatan siber mencoba memanfaatkan kondisi  ini untuk keuntungan sendiri. Seiring pelacakan berkelanjutan terhadap kampanye grup Lazarus yang menargetkan berbagai industri.

Para ahli Kaspersky telah menemukan bahwa aktor tersebut mengejar entitas terkait Covid-19 di musim gugur lalu. Yakni, dua insiden teridentifikasi.

Yang pertama adalah serangan terhadap badan Kementerian Kesehatan. Dua server Windows di organisasi tersebut telah disusupi dengan malware canggih pada 27 Oktober 2020. Malware yang digunakan diketahui oleh Kaspersky, bernama `wAgent`.

Analisis lebih dekat telah menunjukkan bahwa malware wAgent yang digunakan untuk melawan kementerian kesehatan memiliki skema infeksi yang sama dengan malware yang sebelumnya digunakan oleh kelompok Lazarus dalam serangan terhadap bisnis cryptocurrency.

Insiden kedua melibatkan perusahaan farmasi. Menurut telemetri Kaspersky, perusahaan tersebut dibobol pada 25 September 2020. Perusahaan ini sedang mengembangkan vaksin COVID-19 dan juga berwenang untuk memproduksi dan mendistribusikannya.

Kali ini, penyerang menyebarkan malware Bookcode, yang sebelumnya dilaporkan oleh vendor keamanan yang dikaitkan dengan Lazarus, dalam serangan rantai pasokan melalui perusahaan perangkat lunak Korea Selatan.

Peneliti Kaspersky juga menyaksikan grup Lazarus melakukan spear-phishing atau menyerang situs web secara strategis untuk mengirimkan malware Bookcode di masa lalu.

Baik malware wAgent dan Bookcode, yang digunakan dalam kedua serangan tersebut, memiliki fungsi yang serupa, seperti backdoor berfitur lengkap. Setelah menerapkan muatan akhir, operator perangkat lunak perusak dapat mengontrol mesin korban dengan hampir semua cara apa pun yang mereka inginkan.

Mengingat diketahui adanya tumpang tindih, peneliti Kaspersky mengonfirmasi dengan penuh keyakinan bahwa kedua insiden tersebut dapat dikaitkan dengan grup Lazarus. Penelitian terkait masih berlangsung.

“Kedua insiden ini mengungkap ketertarikan kelompok Lazarus pada intelijen terkait COVID-19. Meskipun grup ini sebagian besar dikenal karena aktivitas finansialnya, ini adalah pengingat yang baik bahwa grup tersebut juga dapat mengincar penelitian strategis," komentar Seongsu Park, pakar keamanan di Kaspersky.

Katanya lagi, "kami percaya bahwa semua entitas yang saat ini terlibat dalam aktivitas seperti penelitian vaksin atau penanganan krisis harus waspada terhadap serangan dunia maya.”

Produk Kaspersky mendeteksi malware wAgent sebagai HEUR: Trojan.Win32.Manuscript.gen dan Trojan.Win64.Manuscript.box.
Dan untuk Malware Bookcode sendiri terdeteksi sebagai Trojan.Win64.Manuscript.ce.

Untuk tetap aman dari berbagai ancaman canggih, Kaspersky merekomendasikan untuk mengambil langkah-langkah keamanan berikut:

1. Memberi tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence Portal memberikan akses ke TI perusahaan, memberikan data serta wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun. Dilengkapi dengan akses gratis ke fitur kurasi yang memungkinkan pengguna untuk memeriksa file, URL, dan alamat IP tersedia di sini.

2. Berikan pelatihan dasar kebersihan keamanan siber kepada staf Anda, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.

3. Organisasi yang ingin melakukan penyelidikan mandiri dapat memperoleh keuntungan dari Kaspersky Threat Attribution Engine. Solusi ini akan mencocokkan kode berbahaya yang ditemukan dengan basis data malware, dan berdasarkan kesamaan kode, selanjutnya dapat dihubungkan dengan kampanye APT yang sudah diungkapkan sebelumnya.

4. Untuk deteksi level endpoint, investigasi, dan remediasi insiden tepat waktu, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response.

5. Selain mengadopsi perlindungan titik akhir yang sangat penting, terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.