TRANSLATEXT Зловреден софтуер
Севернокорейската заплашителна група Kimsuky е свързана с ново заплашително разширение за Google Chrome, насочено към събиране на чувствителна информация за събиране на разузнавателна информация. Открито от изследователи през март 2024 г., разширението, наречено TRANSLATEXT, може да събира имейл адреси, потребителски имена, пароли, бисквитки и екранни снимки на браузъра.
Тази кампания е насочена към южнокорейски академични институции, особено тези, които изследват политическите въпроси на Северна Корея.
Съдържание
Kimsuky е видна група за киберпрестъпления
Kimsuky, добре известна хакерска група от Северна Корея, активна поне от 2012 г., се занимава с кибершпионаж и финансово мотивирани атаки срещу южнокорейски цели. Свързан с клъстера Lazarus и част от Главното разузнавателно бюро (RGB), Kimsuky също се идентифицира с имена като APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail и Velvet Chollima. Тяхната основна мисия е да наблюдават академичен и правителствен персонал, за да събират ценна разузнавателна информация.
Тактики за фишинг, често използвани от Kimsuky
Групата е използвала известна уязвимост на Microsoft Office (CVE-2017-11882), за да разпространи keylogger, използвайки примамки, свързани с работата, в атаки, насочени към авиокосмическия и отбранителния сектор. Тяхната цел е да разположат инструмент за шпионаж, способен да събира данни и да изпълнява вторичен полезен товар.
Тази задна врата, която изглежда не е била документирана преди това, позволява на нападателите да извършват основно разузнаване и да разположат допълнителни полезни товари за превземане или дистанционно управление на машината.
Точният метод за първоначален достъп за тази нова дейност остава неясен, но е известно, че групата използва атаки за фишинг и социално инженерство, за да инициира веригата на заразяване.
TRANSLATEXT се представя като Google Translate, за да подмами жертвите
Началната точка на атаката е ZIP архив, който претендира да се отнася за корейската военна история и който съдържа два файла: документ за текстов процесор Hangul и изпълним файл.
Стартирането на изпълнимия файл води до извличане на PowerShell скрипт от контролиран от нападател сървър, който от своя страна експортира информация за компрометираната жертва в хранилище на GitHub и изтегля допълнителен PowerShell код чрез пряк път на Windows (LNK) файл.
Изследователите отбелязват, че откритите доказателства в GitHub предполагат, че Kimsuky е възнамерявал да минимизира експозицията и да използва зловреден софтуер за кратък период от време, за да се насочи към определени лица.
TRANSLATEXT, който се маскира като Google Translate, включва JavaScript код за заобикаляне на мерките за сигурност за услуги като Google, Kakao и Naver; извличане на имейл адреси, идентификационни данни и бисквитки; заснемайте екранни снимки на браузъра и ексфилтрирайте откраднати данни.
Той също така е проектиран да извлича команди от URL адрес на Blogger Blogspot, за да прави екранни снимки на новоотворени раздели и да изтрива всички бисквитки от браузъра, наред с други.
