TRANSLATEXT Malver
Sjevernokorejska prijeteća skupina Kimsuky povezana je s novim prijetećim proširenjem za Google Chrome čiji je cilj prikupljanje osjetljivih informacija za prikupljanje obavještajnih podataka. Istraživači su ga otkrili u ožujku 2024., proširenje, nazvano TRANSLATEXT, može prikupljati adrese e-pošte, korisnička imena, lozinke, kolačiće i snimke zaslona preglednika.
Ova kampanja je usmjerena na južnokorejske akademske institucije, posebno one koje istražuju politička pitanja Sjeverne Koreje.
Sadržaj
Kimsuky je istaknuta skupina za kibernetički kriminal
Kimsuky, dobro poznata hakerska skupina iz Sjeverne Koreje aktivna najmanje od 2012., bavi se kibernetičkom špijunažom i financijski motiviranim napadima na mete u Južnoj Koreji. Povezan s klasterom Lazarus i dijelom Glavnog izviđačkog ureda (RGB), Kimsuky je također identificiran imenima kao što su APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail i Velvet Chollima. Njihova primarna misija je nadzirati akademsko i vladino osoblje kako bi prikupili vrijedne obavještajne podatke.
Taktike krađe identiteta koje Kimsuky često iskorištava
Grupa je iskoristila poznatu ranjivost Microsoft Officea (CVE-2017-11882) za distribuciju keyloggera, koristeći mamce vezane uz posao u napadima usmjerenim na zrakoplovni i obrambeni sektor. Njihov je cilj postaviti špijunski alat sposoban za prikupljanje podataka i izvršavanje sekundarnog korisnog opterećenja.
Ova stražnja vrata, za koja se čini da prethodno nisu bila dokumentirana, omogućuju napadačima da provedu osnovno izviđanje i rasporede dodatna korisna opterećenja za preuzimanje ili daljinsko upravljanje strojem.
Točna metoda početnog pristupa ovoj novoj aktivnosti ostaje nejasna, no poznato je da grupa koristi napade spear-phishing i društveni inženjering kako bi pokrenula lanac infekcije.
TRANSLATEXT predstavlja Google prevoditelja za prevaru žrtava
Početna točka napada je ZIP arhiva koja navodno govori o korejskoj vojnoj povijesti i koja sadrži dvije datoteke: Hangul Word Processor dokument i izvršnu datoteku.
Pokretanje izvršne datoteke rezultira dohvaćanjem PowerShell skripte s poslužitelja kojim upravlja napadač, koji zauzvrat izvozi informacije o kompromitiranoj žrtvi u GitHub repozitorij i preuzima dodatni PowerShell kod pomoću Windows prečaca (LNK) datoteke.
Istraživači primjećuju da otkriveni dokazi na GitHubu sugeriraju da je Kimsuky namjeravao smanjiti izloženost i koristiti zlonamjerni softver u kratkom razdoblju za ciljanje određenih pojedinaca.
TRANSLATEXT, koji se predstavlja kao Google Translate, uključuje JavaScript kod za zaobilaženje sigurnosnih mjera za usluge kao što su Google, Kakao i Naver; izvlači adrese e-pošte, vjerodajnice i kolačiće; snimite snimke zaslona preglednika i izvucite ukradene podatke.
Također je dizajniran za dohvaćanje naredbi s Blogger Blogspot URL-a za snimanje zaslona novootvorenih kartica i brisanje svih kolačića iz preglednika, između ostalog.
