TRANSLATEXT ম্যালওয়্যার৷

উত্তর কোরিয়ার হুমকি গোষ্ঠী কিমসুকি গোয়েন্দা তথ্য সংগ্রহের জন্য সংবেদনশীল তথ্য সংগ্রহের লক্ষ্যে একটি নতুন হুমকিমূলক Google Chrome এক্সটেনশনের সাথে যুক্ত হয়েছে। 2024 সালের মার্চ মাসে গবেষকরা আবিষ্কার করেছেন, TRANSLATEXT ডাব করা এক্সটেনশনটি ইমেল ঠিকানা, ব্যবহারকারীর নাম, পাসওয়ার্ড, কুকি এবং ব্রাউজার স্ক্রিনশট সংগ্রহ করতে সক্ষম।

এই প্রচারাভিযানটি দক্ষিণ কোরিয়ার একাডেমিক প্রতিষ্ঠানকে লক্ষ্য করে, বিশেষ করে যারা উত্তর কোরিয়ার রাজনৈতিক বিষয় নিয়ে গবেষণা করে।

কিমসুকি একটি বিশিষ্ট সাইবার ক্রাইম গ্রুপ

অন্তত 2012 সাল থেকে সক্রিয় উত্তর কোরিয়ার একটি সুপরিচিত হ্যাকিং গ্রুপ কিমসুকি, দক্ষিণ কোরিয়ার লক্ষ্যবস্তুগুলির বিরুদ্ধে সাইবার গুপ্তচরবৃত্তি এবং আর্থিকভাবে অনুপ্রাণিত আক্রমণে জড়িত। Lazarus ক্লাস্টার এবং Reconnaissance General Bureau (RGB) এর অংশের সাথে যুক্ত, কিমসুকিকে APT43, ArchipelaGO, Black Banshee, Emerald Sleet, Springtail, এবং Velvet Chollima এর মতো নাম দিয়েও চিহ্নিত করা হয়। মূল্যবান বুদ্ধিমত্তা সংগ্রহের জন্য শিক্ষাবিদ এবং সরকারি কর্মীদের নজরদারি করাই তাদের প্রাথমিক লক্ষ্য।

বর্শা-ফিশিং কৌশল প্রায়শই কিমসুকি দ্বারা শোষিত হয়

মহাকাশ ও প্রতিরক্ষা খাতকে লক্ষ্য করে হামলায় কাজের থিমযুক্ত লোভ ব্যবহার করে একটি কী-লগার বিতরণ করার জন্য গ্রুপটি একটি পরিচিত মাইক্রোসফ্ট অফিস দুর্বলতা (CVE-2017-11882) ব্যবহার করেছে। তাদের লক্ষ্য হল একটি গুপ্তচরবৃত্তির সরঞ্জাম স্থাপন করা যা ডেটা সংগ্রহ এবং সেকেন্ডারি পেলোড সম্পাদন করতে সক্ষম।

এই ব্যাকডোর, যা পূর্বে অনথিভুক্ত বলে মনে হয়, আক্রমণকারীদের মৌলিক পুনরুদ্ধার করতে এবং মেশিনটি দখল বা দূরবর্তীভাবে নিয়ন্ত্রণ করার জন্য অতিরিক্ত পেলোড স্থাপন করতে সক্ষম করে।

এই নতুন কার্যকলাপের জন্য প্রাথমিক অ্যাক্সেসের সঠিক পদ্ধতিটি অস্পষ্ট রয়ে গেছে, তবে গোষ্ঠীটি সংক্রমণ শৃঙ্খল শুরু করতে বর্শা-ফিশিং এবং সামাজিক প্রকৌশল আক্রমণ ব্যবহার করার জন্য পরিচিত।

প্রতারণার শিকারদের কাছে TRANSLATEXT Google অনুবাদের মত পোজ করে

আক্রমণের সূচনা বিন্দু একটি জিপ সংরক্ষণাগার যা কোরিয়ান সামরিক ইতিহাস সম্পর্কে ধারণা করে এবং এতে দুটি ফাইল রয়েছে: একটি হাঙ্গুল ওয়ার্ড প্রসেসর ডকুমেন্ট এবং একটি এক্সিকিউটেবল।

একটি আক্রমণকারী-নিয়ন্ত্রিত সার্ভার থেকে পাওয়ারশেল স্ক্রিপ্ট পুনরুদ্ধারে এক্সিকিউটেবল ফলাফলগুলি চালু করা, যা ফলস্বরূপ, একটি GitHub সংগ্রহস্থলে আপস করা শিকার সম্পর্কে তথ্য রপ্তানি করে এবং একটি Windows শর্টকাট (LNK) ফাইলের মাধ্যমে অতিরিক্ত PowerShell কোড ডাউনলোড করে।

গবেষকরা নোট করেছেন যে গিটহাব-এ আবিষ্কৃত প্রমাণগুলি থেকে বোঝা যায় যে কিমসুকি নির্দিষ্ট ব্যক্তিদের লক্ষ্য করার জন্য সংক্ষিপ্ত সময়ের জন্য এক্সপোজার কমাতে এবং ম্যালওয়্যার ব্যবহার করার উদ্দেশ্য করেছিলেন।

TRANSLATEXT, যা Google Translate হিসাবে মাশকারা করে, Google, Kakao এবং Naver এর মতো পরিষেবাগুলির নিরাপত্তা ব্যবস্থা বাইপাস করার জন্য জাভাস্ক্রিপ্ট কোড অন্তর্ভুক্ত করে; সাইফন ইমেল ঠিকানা, শংসাপত্র, এবং কুকিজ; ব্রাউজার স্ক্রিনশট ক্যাপচার করুন এবং চুরি করা ডেটা এক্সফিল্ট্রেট করুন।

এটি নতুন খোলা ট্যাবগুলির স্ক্রিনশট নিতে এবং অন্যদের মধ্যে ব্রাউজার থেকে সমস্ত কুকি মুছে ফেলার জন্য একটি ব্লগার ব্লগস্পট URL থেকে কমান্ড আনার জন্যও ডিজাইন করা হয়েছে৷