TRANSLATEXT Haittaohjelma
Pohjois-Korean uhkaryhmä Kimsuky on yhdistetty uuteen uhkaavaan Google Chrome -laajennukseen, jonka tarkoituksena on kerätä arkaluonteisia tietoja tiedustelutietojen keräämistä varten. Tutkijoiden maaliskuussa 2024 löytämä laajennus, nimeltään TRANSLATEXT, pystyy keräämään sähköpostiosoitteita, käyttäjätunnuksia, salasanoja, evästeitä ja selaimen kuvakaappauksia.
Tämä kampanja on kohdistettu Etelä-Korean akateemisiin instituutioihin, erityisesti niihin, jotka tutkivat Pohjois-Korean poliittisia kysymyksiä.
Sisällysluettelo
Kimsuky on tunnettu tietoverkkorikollisuusryhmä
Kimsuky, tunnettu pohjoiskorealainen hakkerointiryhmä, joka on toiminut ainakin vuodesta 2012 lähtien, harjoittaa kybervakoilua ja taloudellisia hyökkäyksiä eteläkorealaisia kohteita vastaan. Kimsuky liittyy Lazarus-klusteriin ja osa tiedustelutoimistoa (RGB), ja se tunnistetaan myös sellaisilla nimillä kuin APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ja Velvet Chollima. Heidän ensisijainen tehtävänsä on valvoa akateemista ja valtion henkilöstöä kerätäkseen arvokasta tietoa.
Kimsukyn usein käyttämät keihäs-phishing-taktiikat
Ryhmä on hyödyntänyt tunnettua Microsoft Officen haavoittuvuutta (CVE-2017-11882) jakaakseen näppäinloggerin käyttämällä työteemaaisia vieheitä ilmailu- ja puolustussektoreille kohdistetuissa hyökkäyksissä. Heidän tavoitteenaan on ottaa käyttöön vakoilutyökalu, joka pystyy keräämään tietoja ja suorittamaan toissijaista hyötykuormaa.
Tämä takaovi, joka näyttää olevan aiemmin dokumentoimaton, antaa hyökkääjille mahdollisuuden suorittaa perustiedusteluja ja ottaa käyttöön lisähyötykuormia koneen haltuunottoa tai etähallintaa varten.
Tarkka tapa päästä alkuun tälle uudelle toiminnalle on edelleen epäselvä, mutta ryhmän tiedetään käyttävän keihäs-phishing- ja sosiaalisen manipuloinnin hyökkäyksiä tartuntaketjun käynnistämiseen.
TRANSLATEXT esiintyy Google-kääntäjänä huijausten uhreille
Hyökkäyksen lähtökohtana on ZIP-arkisto, jonka väitetään käsittelevän Korean sotahistoriaa ja joka sisältää kaksi tiedostoa: Hangul Word Processor -asiakirjan ja suoritettavan tiedoston.
Suoritettavan tiedoston käynnistäminen johtaa PowerShell-komentosarjan noutamiseen hyökkääjän ohjaamasta palvelimesta, joka puolestaan vie tietoja vaarantuneesta uhrista GitHub-tietovarastoon ja lataa lisää PowerShell-koodia Windowsin pikakuvaketiedoston (LNK) avulla.
Tutkijat huomauttavat, että GitHubista löydetyt todisteet viittaavat siihen, että Kimsuky aikoi minimoida altistumisen ja käyttää haittaohjelmia lyhyen ajan kohdistaakseen tiettyihin henkilöihin.
TRANSLATEXT, joka naamioituu Google-kääntäjäksi, sisältää JavaScript-koodin, joka ohittaa turvatoimenpiteet palveluille, kuten Google, Kakao ja Naver; sifonin sähköpostiosoitteet, tunnistetiedot ja evästeet; kaapata selaimen kuvakaappauksia ja suodattaa varastettuja tietoja.
Se on myös suunniteltu noutamaan komentoja Blogger Blogspotin URL-osoitteesta, jotta se ottaa kuvakaappauksia vasta avatuista välilehdistä ja poistaa muun muassa kaikki evästeet selaimesta.
