البرامج الضارة للترجمة
ارتبطت مجموعة التهديد الكورية الشمالية Kimsuky بامتداد تهديدي جديد لـ Google Chrome يهدف إلى جمع معلومات حساسة لجمع المعلومات الاستخبارية. اكتشف الباحثون هذا الامتداد في مارس 2024، ويطلق عليه اسم TRANSLATEXT، وهو قادر على جمع عناوين البريد الإلكتروني وأسماء المستخدمين وكلمات المرور وملفات تعريف الارتباط ولقطات شاشة المتصفح.
استهدفت هذه الحملة المؤسسات الأكاديمية في كوريا الجنوبية، وخاصة تلك التي تبحث في القضايا السياسية لكوريا الشمالية.
جدول المحتويات
Kimsuky هي مجموعة جرائم إلكترونية بارزة
كيمسوكي، مجموعة قرصنة معروفة من كوريا الشمالية تنشط منذ عام 2012 على الأقل، وتشارك في التجسس الإلكتروني والهجمات ذات الدوافع المالية ضد أهداف كورية جنوبية. ترتبط كيمسوكي بمجموعة لازاروس وجزء من مكتب الاستطلاع العام (RGB)، ويتم تحديدها أيضًا بأسماء مثل APT43، وARCHIPELAGO، وBlack Banshee، وEmerald Sleet، وSpringtail، وVelvet Chollima. مهمتهم الأساسية هي مراقبة الموظفين الأكاديميين والحكوميين لجمع معلومات استخباراتية قيمة.
تكتيكات التصيد الاحتيالي التي غالبًا ما يستغلها كيمسوكي
استغلت المجموعة ثغرة أمنية معروفة في Microsoft Office (CVE-2017-11882) لتوزيع برنامج Keylogger، باستخدام الإغراءات ذات الطابع الوظيفي في الهجمات التي تستهدف قطاعي الطيران والدفاع. هدفهم هو نشر أداة تجسس قادرة على جمع البيانات وتنفيذ الحمولة الثانوية.
هذا الباب الخلفي، الذي يبدو أنه غير موثق من قبل، يمكّن المهاجمين من إجراء الاستطلاع الأساسي ونشر حمولات إضافية للاستيلاء على الجهاز أو التحكم فيه عن بعد.
ولا تزال الطريقة الدقيقة للوصول الأولي لهذا النشاط الجديد غير واضحة، ولكن من المعروف أن المجموعة تستخدم هجمات التصيد الاحتيالي والهندسة الاجتماعية لبدء سلسلة العدوى.
TRANSLATEXT يتظاهر بأنه ترجمة Google لضحايا الخدعة
نقطة البداية للهجوم هي أرشيف ZIP الذي يُزعم أنه يتعلق بالتاريخ العسكري الكوري ويحتوي على ملفين: مستند معالج الكلمات بالهانغول وملف قابل للتنفيذ.
يؤدي تشغيل الملف القابل للتنفيذ إلى استرداد البرنامج النصي PowerShell من خادم يتحكم فيه المهاجم، والذي بدوره يصدر معلومات حول الضحية المخترقة إلى مستودع GitHub ويقوم بتنزيل كود PowerShell الإضافي عن طريق ملف اختصار Windows (LNK).
لاحظ الباحثون أن الأدلة المكتشفة على GitHub تشير إلى أن Kimsuky كان ينوي تقليل التعرض للبرامج الضارة واستخدامها لفترة قصيرة لاستهداف أفراد محددين.
TRANSLATEXT، الذي يتنكر في صورة Google Translate، يتضمن كود JavaScript لتجاوز الإجراءات الأمنية لخدمات مثل Google، وKakao، وNaver؛ سرقة عناوين البريد الإلكتروني وبيانات الاعتماد وملفات تعريف الارتباط؛ التقاط لقطات شاشة للمتصفح وتصفية البيانات المسروقة.
وهو مصمم أيضًا لجلب الأوامر من عنوان URL الخاص بـ Blogger Blogspot لالتقاط لقطات شاشة لعلامات التبويب المفتوحة حديثًا وحذف جميع ملفات تعريف الارتباط من المتصفح، من بين أشياء أخرى.