Kaspersky kembali mengungkap aktivitas kelompok peretas Lazarus yang semakin canggih dalam melancarkan serangan siber, kali ini menargetkan rantai pasok perusahaan-perusahaan penting di Korea Selatan.
Hal ini di ungkap Kaspersky di acara GITEX Asia 2025 Singapore (23/04/25), dimana Kaspersky hadir sebagai Mitra Cyber Immunity.
Dalam kampanye yang dijuluki Operation SyncHole, kelompok Lazarus memanfaatkan celah keamanan dalam software pihak ketiga yang banyak digunakan di wilayah tersebut.
Celah Zero-Day di Innorix Agent Jadi Titik Masuk
Dalam laporan yang dirilis oleh tim Global Research and Analysis Team (GReAT) milik Kaspersky, serangan ini menyasar setidaknya enam organisasi di sektor software, IT, keuangan, semikonduktor, dan telekomunikasi di Korea Selatan.
Salah satu temuan paling krusial adalah eksploitasi terhadap zero-day vulnerability pada Innorix Agent, perangkat lunak lokal yang kerap digunakan untuk transfer file aman dalam sistem administrasi dan keuangan.
Melalui celah pada versi Innorix Agent 9.2.18.496, kelompok Lazarus menyusup ke jaringan internal perusahaan dan melakukan gerakan lateral guna menyebarkan malware berbahaya seperti ThreatNeedle dan LPEClient.
Eksploitasi ini dikirimkan melalui Agamemnon downloader, yang menunjukkan kompleksitas rantai serangan yang dirancang.
Kaspersky melaporkan temuan celah ini kepada Korea Internet & Security Agency (KrCERT) dan pengembang software terkait, dan celah tersebut telah diperbaiki dengan update terbaru dan diidentifikasi sebagai KVE-2025-0014.
Eksploitasi Lanjutan Lewat Cross EX dan Taktik Watering Hole
Penelitian lanjutan juga mengungkap bahwa kelompok Lazarus menggunakan pendekatan watering hole attack, yaitu menginfeksi situs media online populer di Korea Selatan.
Pengunjung yang dianggap target akan diarahkan ke situs kendali penyerang yang menjalankan rangkaian serangan lanjutan.
Selain itu, Lazarus juga menyusupi proses memori dari SyncHost.exe, sebuah proses sah dari Cross EX, software asli Korea yang digunakan untuk mendukung penggunaan alat keamanan berbasis browser.
Kerentanan dalam Cross EX ini diduga menjadi pintu masuk awal dalam beberapa kasus infeksi lainnya, dan celah ini juga telah dikonfirmasi oleh KrCERT serta telah diperbaiki.
Menurut Igor Kuznetsov, Direktur Kaspersky GReAT, perangkat tambahan browser seperti Innorix Agent dan Cross EX kerap memiliki hak akses tinggi dan integrasi mendalam dengan proses browser, sehingga menarik bagi penyerang.
“Komponen ini sering kali menjadi target yang lebih mudah daripada browser modern itu sendiri,” ujarnya.
Pentingnya Deteksi Dini dan Proteksi Mendalam
Untuk melindungi organisasi dari serangan APT seperti Lazarus, Kaspersky merekomendasikan:
- Selalu memperbarui semua software secara rutin.
- Melakukan audit keamanan siber untuk mengidentifikasi kelemahan sistem.
- Menggunakan solusi Kaspersky Next yang mencakup EDR dan XDR untuk deteksi real-time dan respons terhadap insiden.
- Mengandalkan Kaspersky Threat Intelligence untuk mendapatkan konteks mendalam dan visibilitas terhadap ancaman yang berkembang.
Tentang Tim GReAT
Sejak 2008, GReAT telah menjadi pusat dari upaya riset dan deteksi ancaman siber di Kaspersky. Dengan lebih dari 30 ahli di berbagai wilayah dunia, tim ini telah menjadi ujung tombak dalam mengungkap kampanye spionase digital, ransomware, dan aktivitas APT lainnya.
