TRANSLATEXT Malware
Severokorejská hrozba Kimsuky byla spojována s novým hrozivým rozšířením Google Chrome zaměřeným na získávání citlivých informací pro shromažďování zpravodajských informací. Rozšíření nazvané TRANSLATEXT, objevené výzkumníky v březnu 2024, je schopné shromažďovat e-mailové adresy, uživatelská jména, hesla, soubory cookie a snímky obrazovky prohlížeče.
Tato kampaň se zaměřila na jihokorejské akademické instituce, zejména ty, které zkoumají severokorejské politické otázky.
Obsah
Kimsuky je přední skupina zabývající se kyberzločinem
Kimsuky, známá hackerská skupina ze Severní Koreje, která působí minimálně od roku 2012, se zabývá kybernetickou špionáží a finančně motivovanými útoky proti jihokorejským cílům. Kimsuky, spojený s clusterem Lazarus a součástí Reconnaissance General Bureau (RGB), je také identifikován jmény jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail a Velvet Chollima. Jejich primárním posláním je dohlížet na akademické a vládní pracovníky a shromažďovat cenné informace.
Taktika Spear-phishingu, kterou Kimsuky často využívá
Skupina využila známou zranitelnost Microsoft Office (CVE-2017-11882) k distribuci keyloggeru pomocí návnad s tématikou práce při útocích zaměřených na letecký a obranný sektor. Jejich cílem je nasadit špionážní nástroj schopný sběru dat a sekundárního spouštění užitečného zatížení.
Tato zadní vrátka, která se zdá být dříve nezdokumentovaná, umožňují útočníkům provádět základní průzkum a rozmístit další užitečné zatížení pro převzetí nebo dálkové ovládání stroje.
Přesná metoda počátečního přístupu k této nové aktivitě zůstává nejasná, ale je známo, že skupina používá spear-phishing a útoky sociálního inženýrství k zahájení infekčního řetězce.
TRANSLATEXT představuje jako Google Translate to Trick Victims
Výchozím bodem útoku je archiv ZIP, který údajně pojednává o korejské vojenské historii a který obsahuje dva soubory: dokument textového procesoru Hangul a spustitelný soubor.
Spuštění spustitelného souboru má za následek načtení skriptu PowerShell ze serveru kontrolovaného útočníkem, který naopak exportuje informace o napadené oběti do úložiště GitHub a stáhne další kód PowerShellu pomocí souboru zkratky Windows (LNK).
Výzkumníci poznamenávají, že objevené důkazy na GitHubu naznačují, že Kimsuky zamýšlel minimalizovat expozici a na krátkou dobu použít malware k cílení na konkrétní osoby.
TRANSLATEXT, který se maskuje jako Google Translate, obsahuje kód JavaScript, aby obcházel bezpečnostní opatření pro služby jako Google, Kakao a Naver; sifonové e-mailové adresy, přihlašovací údaje a soubory cookie; pořizovat snímky obrazovky prohlížeče a exfiltrovat ukradená data.
Je také navržen tak, aby načítal příkazy z adresy URL Blogger Blogspot k pořizování snímků obrazovky nově otevřených karet a mimo jiné k odstranění všech souborů cookie z prohlížeče.
