3 weeks ago
15
Jakarta, VIVA – Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap aktivitas APT BlueNoroff terbaru melalui dua kampanye berbahaya yang sangat tertarget, yaitu 'GhostCall' dan 'GhostHire'.
Operasi yang sedang berlangsung ini telah menargetkan organisasi Web3 dan aset kripto di seluruh India, Turki, Australia, dan negara-negara lain di Eropa dan Asia setidaknya sejak April 2025.
BlueNoroff, subdivisi dari grup Lazarus yang terkenal kejam, terus memperluas kampanye andalannya, 'SnatchCrypto', sebuah operasi bermotif finansial yang menargetkan industri aset kripto di seluruh dunia.
Kampanye GhostCall dan GhostHire yang baru dijelaskan ini menggunakan teknik infiltrasi baru dan malware khusus untuk membahayakan pengembang dan eksekutif blockchain.
Serangan siber ini mempengaruhi sistem macOS dan Windows sebagai target utama dan dikelola melalui infrastruktur perintah dan kontrol terpadu.
Kampanye GhostCall fokus pada perangkat macOS, dimulai dengan serangan rekayasa sosial yang sangat canggih dan personal.
Para penyerang menghubungi melalui Telegram, menyamar sebagai pemodal ventura, dan dalam beberapa kasus menggunakan akun wirausahawan dan pendiri startup sungguhan yang telah diretas untuk mempromosikan peluang investasi atau kemitraan.
Para korban diundang ke pertemuan investasi palsu di situs phishing yang meniru Zoom atau Microsoft Teams.
Selama pertemuan tersebut, mereka diminta untuk "memperbarui" klien mereka guna memperbaiki masalah audio. Tindakan ini mengunduh skrip berbahaya dan menyebarkan infeksi malware ke perangkat.
"Kampanye ini mengandalkan penipuan yang disengaja dan terencana dengan cermat. Penyerang memutar ulang video korban sebelumnya selama pertemuan yang direkayasa agar interaksi tampak seperti panggilan sungguhan dan memanipulasi target baru. Data yang dikumpulkan dalam proses ini kemudian digunakan tidak hanya untuk melawan korban pertama, tetapi juga dieksploitasi untuk memungkinkan serangan selanjutnya dan serangan rantai pasokan, memanfaatkan hubungan kepercayaan yang telah terjalin untuk membahayakan lebih banyak organisasi dan pengguna," ungkap Sojun Ryu, peneliti keamanan Kaspersky GReAT.
Para penyerang menyebarkan tujuh rantai eksekusi multi-tahap untuk mendistribusikan berbagai muatan, termasuk pencuri kripto, pencuri kredensial peramban, keylogger, dan pencuri kredensial Telegram.
Dalam kampanye GhostHire, APT menargetkan pengembang blockchain dengan menyamar sebagai perekrut. Korban ditipu agar mengunduh dan menjalankan repositori GitHub berisi malware.
Halaman Selanjutnya
GhostHire berbagi infrastruktur dan perangkatnya dengan kampanye GhostCall, tetapi alih-alih menggunakan panggilan video, GhostHire berfokus pada pendekatan langsung kepada pengembang dan teknisi melalui rekrutmen palsu.
