Ricochet Chollima (APT37) Menargetkan Jurnalis dengan GOLDBACKDOOR Malware

Pelanggaran tersebut, menurut Ricochet Chollima, mengakibatkan penyebaran jenis malware baru yang dikenal sebagai GOLDBACKDOOR, sebuah artefak yang berbagi tumpang tindih teknis dengan malware lain yang dikenal sebagai BLUELIGHT, yang sebelumnya telah ditautkan ke grup.

“Wartawan adalah target bernilai tinggi bagi pemerintah yang bermusuhan,” menurut sebuah laporan yang dikeluarkan minggu lalu oleh perusahaan keamanan siber Stairwell. "Kompromi oleh seorang jurnalis dapat memberikan akses ke informasi yang sangat sensitif dan memungkinkan serangan berikutnya terhadap sumber mereka."

Ricochet Chollima, juga dikenal sebagai APT37, InkySquid, dan ScarCruft, adalah musuh penyusupan yang ditargetkan dengan koneksi Korea Utara yang telah terlibat dalam serangan spionase setidaknya sejak 2016. Aktor ancaman memiliki rekam jejak menargetkan pejabat pemerintah, kelompok non-pemerintah , akademisi, jurnalis, dan pembelot Korea Utara.

Kaspersky menemukan bukti kelompok peretas yang menyebarkan implan yang sebelumnya tidak dilaporkan bernama Chinotto sebagai bagian dari gelombang baru serangan pengawasan yang sangat ditargetkan pada November 2021, sementara operasi sebelumnya telah menggunakan alat remote access bernama BLUELIGHT.

Alur Penyebaran GOLDBACKDOOR Malware

Investigasi Stairwell terhadap kampanye tersebut dilakukan setelah NK News mengungkapkan bahwa pesan iming-iming dikirim dari alamat email pribadi milik mantan pejabat intelijen Korea Selatan, yang akhirnya mengarah pada penyebaran backdoor dalam proses infeksi multi-stage untuk menghindari deteksi.

Pesan email ditemukan berisi tautan untuk mengunduh arsip ZIP dari server jarak jauh yang meniru portal berita yang berfokus pada Korea Utara. File pintasan Windows disertakan di dalam file dan berfungsi sebagai titik awal untuk mengeksekusi skrip PowerShell, yang membuka dokumen palsu sambil juga menginstal backdoor GOLDBACKDOOR.

Implan, pada bagiannya, dirancang sebagai file Portable Executable yang dapat mengambil perintah dari server jarak jauh, mengunggah dan mengunduh file, merekam data, dan menghapus dirinya sendiri dari jarak jauh dari PC yang terinfeksi.

"Selama dekade terakhir, Democratic People's Republic of Korea (DPRK) telah mengadopsi operasi siber sebagai cara penting untuk mendukung pemerintah," kata Silas Cutler dari Stairwell.

"Sementara banyak dugaan penggunaan kegiatan ini untuk membayar proyek militer DPRK, penargetan peneliti, pembangkang, dan jurnalis kemungkinan akan tetap menjadi area vital untuk mempertahankan operasi intelijen negara."