APT Korea Selatan Menargetkan Hotel Mewah di Makau

Dari paruh kedua November 2021 hingga pertengahan Januari 2022, hotel-hotel mewah di wilayah administrasi khusus China, Makau, menjadi sasaran serangan spear-phishing berbahaya.

Trellix, sebuah perusahaan keamanan siber, menganggap serangan tersebut dilakukan oleh ancaman persisten lanjutan (APT) Korea Selatan yang bernama DarkHotel, berdasarkan penelitian yang sebelumnya diterbitkan oleh Zscaler pada Desember 2021.

DarkHotel, yang telah aktif sejak 2007, memiliki sejarah menargetkan "pemimpin perusahaan teratas dengan mengunduh kode berbahaya ke komputer mereka melalui jaringan Wi-Fi hotel yang disusupi, serta serangan spear-phishing dan P2P," menurut peneliti Zscaler Sahil Antil dan Sudeep Singh. Penegak hukum, obat-obatan, dan manufaktur mobil termasuk di antara industri terkemuka yang diserang.

Rantai serangan terdiri dari pengiriman pesan email kepada orang-orang dalam peran kepemimpinan di hotel, seperti wakil presiden sumber daya manusia, asisten manajer, dan manajer kantor depan, yang menunjukkan bahwa serangan itu ditujukan pada pekerja dengan akses jaringan.

Pada tanggal 7 Desember, email phishing tampaknya berasal dari Kantor Pariwisata Pemerintah Makau dan meminta penerima untuk membuka file Excel dengan ekstensi ".xls" ("information.xls"). Dalam contoh lain, email dipalsukan untuk mendapatkan informasi tentang tamu yang menginap di hotel.

Ketika file Microsoft Excel yang mengandung malware dibuka, itu menipu penerima untuk mengaktifkan makro, memicu rantai eksploit untuk mengumpulkan dan mengekstrak data sensitif dari mesin yang disusupi kembali ke server command-and-control (C2) jarak jauh ("fsm- gov[.]com") yang meniru situs web pemerintah Negara Federasi Mikronesia (FSM).

"Aktor menggunakan IP ini untuk mengirimkan muatan tambahan sebagai tahap pertama untuk membangun lingkungan korban untuk pemusnahan informasi sistem dan kemungkinan langkah-langkah berikutnya," kata peneliti Trellix Thibault Seret dan John Fokker dalam sebuah penelitian yang diterbitkan minggu lalu. "Muatan itu digunakan untuk menargetkan grup hotel top Macau, termasuk Grand Coloane Resort dan Wynn Palace."

Perlu juga dicatat bahwa alamat IP server C2 tetap beroperasi meskipun sebelumnya telah diekspos ke publik, dan itu digunakan untuk mengirimkan halaman phishing untuk serangan pengambilan kredensial terpisah yang ditujukan untuk pengguna dompet cryptocurrency MetaMask.

Serangan tersebut diyakini akan berakhir pada 18 Januari 2022, bertepatan dengan peningkatan kasus COVID-19 di Makau, sehingga mengakibatkan pembatalan atau penundaan sejumlah konferensi perdagangan besar yang dijadwalkan berlangsung di hotel-hotel sasaran.

"Kelompok tersebut berusaha membangun dasar untuk serangan masa depan yang menargetkan hotel-hotel khusus ini," menurut para peneliti. "Batas COVID-19 menimbulkan masalah pada mesin aktor ancaman dalam serangan ini, tetapi itu tidak berarti mereka mengabaikan teknik ini."