Hacker Korea Utara Menargetkan macOS Menggunakan Malware yang Tertanam di Fultter
Pelaku ancaman yang memiliki keterkaitan dengan Republik Rakyat Demokratik Korea (DPRK atau Korea Utara) diketahui menyematkan malware dalam aplikasi Flutter, yang menjadi pertama kalinya taktik ini digunakan untuk menginfeksi perangkat Apple macOS.
Jamf Threat Labs, yang menemukan hal ini berdasarkan artefak yang diunggah ke platform VirusTotal awal bulan ini, menyatakan bahwa aplikasi berbasis Flutter ini merupakan bagian dari aktivitas yang lebih luas, yang mencakup malware yang ditulis dalam bahasa Golang dan Python.
Saat ini, belum diketahui bagaimana sampel-sampel ini didistribusikan kepada korban, atau apakah sudah digunakan untuk menyerang target tertentu, atau jika para penyerang beralih ke metode distribusi baru. Diketahui bahwa pelaku ancaman asal Korea Utara sering terlibat dalam upaya rekayasa sosial yang intensif, menargetkan karyawan di bisnis cryptocurrency dan keuangan terdesentralisasi (DeFi).
“Kami menduga contoh-contoh spesifik ini sedang dalam tahap pengujian,” ujar Jaron Bradley, direktur di Jamf Threat Labs, kepada The Hacker News. “Kemungkinan besar belum didistribusikan. Sulit untuk dipastikan. Namun, teknik rekayasa sosial yang digunakan para pelaku ancaman ini telah sangat berhasil di masa lalu dan kami menduga mereka akan terus menggunakan teknik-teknik ini.”
Jamf belum mengaitkan aktivitas jahat ini dengan kelompok peretas tertentu dari Korea Utara, namun dikatakan bahwa kemungkinan aktivitas ini merupakan karya dari sub-kelompok Lazarus yang dikenal sebagai BlueNoroff. Hubungan ini didasarkan pada kesamaan infrastruktur dengan malware bernama KANDYKORN dan kampanye Hidden Risk yang baru-baru ini disoroti oleh Sentinel One.
Yang membuat malware baru ini menonjol adalah penggunaan Flutter, sebuah kerangka pengembangan aplikasi lintas platform, untuk menyematkan muatan utama yang ditulis dalam bahasa Dart, sambil menyamar sebagai game Minesweeper yang berfungsi penuh. Aplikasi ini dinamakan “New Updates in Crypto Exchange (2024-08-28).”
Selain itu, game tersebut tampaknya merupakan tiruan dari game Flutter sederhana untuk iOS yang tersedia secara publik di GitHub. Perlu dicatat bahwa penggunaan umpan bertema game juga pernah diamati digunakan oleh kelompok peretas Korea Utara lainnya yang dilacak sebagai Moonstone Sleet.
Aplikasi-aplikasi ini juga telah ditandatangani dan dinotariskan menggunakan ID pengembang Apple dari BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) dan FAIRBANKS CURLING CLUB INC. (6W69GC943U), yang mengindikasikan bahwa pelaku ancaman mampu melewati proses notarasi Apple. Tanda tangan ini sejak itu telah dicabut oleh Apple.
Saat diluncurkan, malware ini mengirimkan permintaan jaringan ke server jarak jauh ("mbupdate.linkpc[.]net") dan dikonfigurasi untuk menjalankan kode AppleScript yang diterima dari server, namun dengan cara yang dibalik terlebih dahulu.
Jamf juga mengidentifikasi varian lain dari malware yang ditulis dalam Go dan Python, dengan yang terakhir dibangun menggunakan Py2App. Aplikasi-aplikasi ini – bernama NewEra for Stablecoins and DeFi, CeFi (Protected).app dan Runner.app – dilengkapi dengan kemampuan serupa untuk menjalankan muatan AppleScript yang diterima dalam respons HTTP dari server.
Perkembangan terbaru ini menunjukkan bahwa pelaku ancaman DPRK sedang aktif mengembangkan malware dengan menggunakan berbagai bahasa pemrograman untuk menyusup ke perusahaan-perusahaan cryptocurrency.
“Malware yang ditemukan dari pelaku ancaman ini selama beberapa tahun terakhir hadir dalam berbagai varian dengan iterasi yang sering diperbarui,” kata Bradley. “Kami menduga ini merupakan upaya untuk tetap tidak terdeteksi dan membuat malware terlihat berbeda pada setiap rilisnya. Dalam kasus bahasa Dart, kami menduga karena para pelaku ancaman menemukan bahwa aplikasi Flutter memberikan tingkat kamuflase yang baik berkat arsitektur aplikasinya setelah dikompilasi.”