TRANSLATEXT Malware
Den nordkoreanske trusselgruppe Kimsuky er blevet forbundet med en ny truende Google Chrome-udvidelse, der har til formål at indsamle følsomme oplysninger til efterretningsindsamling. Udvidelsen, kaldet TRANSLATEXT, blev opdaget af forskere i marts 2024, og er i stand til at indsamle e-mailadresser, brugernavne, adgangskoder, cookies og browserskærmbilleder.
Denne kampagne er rettet mod sydkoreanske akademiske institutioner, især dem, der forsker i nordkoreanske politiske spørgsmål.
Indholdsfortegnelse
Kimsuky er en fremtrædende cyberkriminalitetsgruppe
Kimsuky, en velkendt hackergruppe fra Nordkorea, der har været aktiv siden mindst 2012, engagerer sig i cyberspionage og økonomisk motiverede angreb mod sydkoreanske mål. Associeret med Lazarus-klyngen og en del af Reconnaissance General Bureau (RGB), er Kimsuky også identificeret ved navne som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail og Velvet Chollima. Deres primære mission er at overvåge akademisk og regeringspersonale for at indsamle værdifuld efterretning.
Spyd-phishing-taktik, der ofte udnyttes af Kimsuky
Gruppen har udnyttet en kendt Microsoft Office-sårbarhed (CVE-2017-11882) til at distribuere en keylogger ved at bruge lokkemidler med jobtema i angreb rettet mod rumfarts- og forsvarssektoren. Deres mål er at implementere et spionageværktøj, der er i stand til at indsamle data og udføre sekundær nyttelast.
Denne bagdør, som ser ud til at være tidligere udokumenteret, gør det muligt for angribere at udføre grundlæggende rekognoscering og indsætte yderligere nyttelast til at overtage eller fjernstyre maskinen.
Den nøjagtige metode til indledende adgang til denne nye aktivitet er stadig uklar, men gruppen er kendt for at bruge spear-phishing og social engineering-angreb til at starte infektionskæden.
TRANSLATEXT Poserer som Google Translate til trickofre
Udgangspunktet for angrebet er et ZIP-arkiv, der foregiver at handle om koreansk militærhistorie, og som indeholder to filer: Et Hangul-tekstbehandlingsdokument og en eksekverbar.
Start af den eksekverbare resulterer i hentning af et PowerShell-script fra en angriberstyret server, som igen eksporterer information om det kompromitterede offer til et GitHub-lager og downloader yderligere PowerShell-kode ved hjælp af en Windows-genvejsfil (LNK).
Forskere bemærker, at opdagede beviser på GitHub tyder på, at Kimsuky havde til hensigt at minimere eksponeringen og bruge malwaren i en kort periode til at målrette mod specifikke individer.
TRANSLATEXT, der udgiver sig som Google Translate, inkorporerer JavaScript-kode for at omgå sikkerhedsforanstaltninger for tjenester som Google, Kakao og Naver; hæver e-mail-adresser, legitimationsoplysninger og cookies; optag browserskærmbilleder og eksfiltrer stjålne data.
Det er også designet til at hente kommandoer fra en Blogger Blogspot-URL til blandt andet at tage skærmbilleder af nyligt åbnede faner og slette alle cookies fra browseren.
