TRANSLATEXT Κακόβουλο λογισμικό
Η βορειοκορεατική ομάδα απειλών Kimsuky έχει συσχετιστεί με μια νέα απειλητική επέκταση του Google Chrome που στοχεύει στη συλλογή ευαίσθητων πληροφοριών για τη συλλογή πληροφοριών. Ανακαλύφθηκε από ερευνητές τον Μάρτιο του 2024, η επέκταση, με την ονομασία TRANSLATEXT, είναι σε θέση να συλλέγει διευθύνσεις email, ονόματα χρήστη, κωδικούς πρόσβασης, cookies και στιγμιότυπα οθόνης προγράμματος περιήγησης.
Αυτή η εκστρατεία έχει στοχεύσει ακαδημαϊκά ιδρύματα της Νότιας Κορέας, ιδιαίτερα εκείνα που ερευνούν πολιτικά ζητήματα της Βόρειας Κορέας.
Πίνακας περιεχομένων
Ο Kimsuky είναι μια εξέχουσα ομάδα εγκλήματος στον κυβερνοχώρο
Η Kimsuky, μια πολύ γνωστή ομάδα χάκερ από τη Βόρεια Κορέα που δραστηριοποιείται τουλάχιστον από το 2012, εμπλέκεται σε κατασκοπεία στον κυβερνοχώρο και σε επιθέσεις με οικονομικά κίνητρα κατά στόχων της Νότιας Κορέας. Συνδεδεμένο με το σύμπλεγμα Lazarus και μέρος του Γενικού Γραφείου Αναγνώρισης (RGB), το Kimsuky προσδιορίζεται επίσης με ονόματα όπως APT43, ΑΡΧΙΠΕΛΑΓΟΣ, Black Banshee, Emerald Sleet, Springtail και Velvet Chollima. Η κύρια αποστολή τους είναι να παρακολουθούν το ακαδημαϊκό και κυβερνητικό προσωπικό για τη συλλογή πολύτιμων πληροφοριών.
Τακτικές ψαρέματος με δόρυ που συχνά εκμεταλλεύεται ο Kimsuky
Η ομάδα έχει εκμεταλλευτεί μια γνωστή ευπάθεια του Microsoft Office (CVE-2017-11882) για να διανείμει ένα keylogger, χρησιμοποιώντας θέλγητρα με θέμα την εργασία σε επιθέσεις που στοχεύουν τους τομείς της αεροδιαστημικής και της άμυνας. Στόχος τους είναι να αναπτύξουν ένα εργαλείο κατασκοπείας ικανό για συλλογή δεδομένων και εκτέλεση δευτερεύοντος ωφέλιμου φορτίου.
Αυτή η κερκόπορτα, η οποία φαίνεται να ήταν προηγουμένως μη τεκμηριωμένη, επιτρέπει στους επιτιθέμενους να πραγματοποιήσουν βασικές αναγνωρίσεις και να αναπτύξουν πρόσθετα ωφέλιμα φορτία για την ανάληψη ή τον απομακρυσμένο έλεγχο του μηχανήματος.
Η ακριβής μέθοδος αρχικής πρόσβασης για αυτή τη νέα δραστηριότητα παραμένει ασαφής, αλλά η ομάδα είναι γνωστό ότι χρησιμοποιεί επιθέσεις spear-phishing και κοινωνικής μηχανικής για να ξεκινήσει την αλυσίδα μόλυνσης.
TRANSLATEXT Ποζάρει ως το Google Translate σε θύματα κόλπων
Το σημείο εκκίνησης της επίθεσης είναι ένα αρχείο ZIP που υποτίθεται ότι αφορά την κορεατική στρατιωτική ιστορία και το οποίο περιέχει δύο αρχεία: Ένα έγγραφο επεξεργασίας κειμένου Hangul και ένα εκτελέσιμο αρχείο.
Η εκκίνηση του εκτελέσιμου αρχείου έχει ως αποτέλεσμα την ανάκτηση ενός σεναρίου PowerShell από έναν διακομιστή ελεγχόμενο από εισβολέα, ο οποίος, με τη σειρά του, εξάγει πληροφορίες σχετικά με το παραβιασμένο θύμα σε ένα αποθετήριο GitHub και πραγματοποιεί λήψη πρόσθετου κώδικα PowerShell μέσω ενός αρχείου συντόμευσης των Windows (LNK).
Οι ερευνητές σημειώνουν ότι τα στοιχεία που ανακαλύφθηκαν στο GitHub υποδηλώνουν ότι ο Kimsuky σκόπευε να ελαχιστοποιήσει την έκθεση και να χρησιμοποιήσει το κακόβουλο λογισμικό για σύντομο χρονικό διάστημα για να στοχεύσει συγκεκριμένα άτομα.
Το TRANSLATEXT, το οποίο μεταμφιέζεται ως Μετάφραση Google, ενσωματώνει κώδικα JavaScript για να παρακάμψει τα μέτρα ασφαλείας για υπηρεσίες όπως το Google, το Kakao και το Naver. Siphon διευθύνσεις email, διαπιστευτήρια και cookies. τραβήξτε στιγμιότυπα οθόνης του προγράμματος περιήγησης και εκμεταλλευτείτε τα κλεμμένα δεδομένα.
Έχει επίσης σχεδιαστεί για να ανακτά εντολές από μια διεύθυνση URL Blogspot του Blogger για λήψη στιγμιότυπων οθόνης από καρτέλες που ανοίγουν πρόσφατα και διαγραφή όλων των cookie από το πρόγραμμα περιήγησης, μεταξύ άλλων.
