TRANSLATEXT Pahavara
Põhja-Korea ohugruppi Kimsukyt on seostatud uue ähvardava Google Chrome'i laiendusega, mille eesmärk on koguda luureandmete kogumiseks tundlikku teavet. Teadlaste poolt 2024. aasta märtsis avastatud laiendus, nimega TRANSLATEXT, suudab koguda meiliaadresse, kasutajanimesid, paroole, küpsiseid ja brauseri ekraanipilte.
See kampaania on suunatud Lõuna-Korea akadeemilistele institutsioonidele, eriti neile, kes uurivad Põhja-Korea poliitilisi küsimusi.
Sisukord
Kimsuky on silmapaistev küberkuritegevuse rühmitus
Kimsuky, tuntud Põhja-Korea häkkimisrühmitus, mis on tegutsenud vähemalt 2012. aastast, tegeleb küberspionaažiga ja rahaliselt motiveeritud rünnakutega Lõuna-Korea sihtmärkide vastu. Seotud Lazaruse klastriga ja osa Reconnaissance General Bureau'st (RGB), Kimsukyt identifitseeritakse ka selliste nimede järgi nagu APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ja Velvet Chollima. Nende peamine ülesanne on jälgida akadeemilisi ja valitsustöötajaid, et koguda väärtuslikku luureandmeid.
Odaandmepüügitaktika, mida Kimsuky sageli ära kasutab
Rühm on kasutanud teadaolevat Microsoft Office'i haavatavust (CVE-2017-11882), et levitada klahvilogijat, kasutades lennundus- ja kaitsesektorile suunatud rünnakutes tööteemalisi peibutusi. Nende eesmärk on võtta kasutusele spionaažitööriist, mis on võimeline koguma andmeid ja täitma sekundaarset kasulikku lasti.
See tagauks, mis näib olevat varem dokumentideta, võimaldab ründajatel teha lihtsat luuret ja kasutada masina ülevõtmiseks või kaugjuhtimiseks lisakoormust.
Selle uue tegevuse algse juurdepääsu täpne meetod jääb ebaselgeks, kuid teadaolevalt kasutab rühm nakkusahela algatamiseks oda-andmepüügi ja sotsiaalse manipuleerimise rünnakuid.
TRANSLATEXT kujutab endast Google'i tõlget, et petta ohvreid
Rünnaku lähtepunktiks on ZIP-arhiiv, mis väidetavalt räägib Korea sõjaajaloost ja sisaldab kahte faili: Hanguli tekstiprotsessori dokumenti ja käivitatavat faili.
Täitmisfaili käivitamine toob kaasa PowerShelli skripti hankimise ründaja juhitavast serverist, mis omakorda ekspordib ohustatud ohvri kohta teabe GitHubi hoidlasse ja laadib Windowsi otsetee (LNK) faili abil alla täiendava PowerShelli koodi.
Teadlased märgivad, et GitHubis avastatud tõendid viitavad sellele, et Kimsuky kavatses minimeerida kokkupuudet ja kasutada pahavara lühiajaliselt konkreetsete isikute sihtimiseks.
TRANSLATEXT, mis maskeerub Google'i tõlkeks, sisaldab JavaScripti koodi, et vältida selliste teenuste nagu Google, Kakao ja Naver turvameetmeid; sifooni e-posti aadressid, mandaadid ja küpsised; brauseri ekraanipiltide jäädvustamine ja varastatud andmete väljafiltreerimine.
See on loodud ka käskude toomiseks Blogger Blogspoti URL-ilt, et teha ekraanipilte äsja avatud vahekaartidest ja kustutada muu hulgas kõik brauserist küpsised.
