TRANSLATEXT Malware
A Kimsuky észak-koreai fenyegetettségi csoportot egy új fenyegető Google Chrome-bővítményhez hozták összefüggésbe, amelynek célja érzékeny információk begyűjtése hírszerzési célból. A TRANSLATEXT névre keresztelt bővítmény, amelyet a kutatók fedeztek fel 2024 márciusában, képes e-mail címek, felhasználónevek, jelszavak, cookie-k és böngésző képernyőképek gyűjtésére.
Ez a kampány a dél-koreai akadémiai intézményeket célozta meg, különösen azokat, amelyek észak-koreai politikai kérdéseket kutatnak.
Tartalomjegyzék
A Kimsuky egy kiemelkedő számítástechnikai bűnözési csoport
Kimsuky, egy jól ismert észak-koreai hackercsoport, amely legalább 2012 óta aktív, kiberkémkedésben és pénzügyi indíttatású támadásokban vesz részt dél-koreai célpontok ellen. A Lazarus-klaszterhez kötődő és a Reconnaissance General Bureau (RGB) részeként Kimsukyt olyan nevek is azonosítják, mint az APT43, az ARCHIPELAGO, a Black Banshee, az Emerald Sleet, a Springtail és a Velvet Chollima. Elsődleges küldetésük az akadémiai és kormányzati személyzet megfigyelése, hogy értékes hírszerzési információkat gyűjtsenek.
Kimsuky által gyakran használt lándzsás adathalász taktika
A csoport a Microsoft Office ismert sebezhetőségét (CVE-2017-11882) kihasználva kulcsnaplózót terjesztett, és munka témájú csalikat használt a repülőgép- és védelmi szektort célzó támadásokhoz. Céljuk egy olyan kémeszköz bevetése, amely képes adatgyűjtésre és másodlagos rakomány-végrehajtásra.
Ez a hátsó ajtó, amely korábban nem volt dokumentálva, lehetővé teszi a támadók számára, hogy alapvető felderítést hajtsanak végre, és további rakományokat telepítsenek a gép átvételéhez vagy távvezérléséhez.
Az új tevékenység kezdeti hozzáférésének pontos módja továbbra is tisztázatlan, de a csoportról ismert, hogy lándzsás adathalászat és social engineering támadásokat alkalmaznak a fertőzési lánc elindítására.
A TRANSLATEXT Google Fordítóként jelenik meg a trükk áldozatainak
A támadás kiindulópontja egy ZIP-archívum, amely állítólag a koreai katonai történelemről szól, és amely két fájlt tartalmaz: egy hangul szövegszerkesztő dokumentumot és egy végrehajtható fájlt.
A végrehajtható fájl elindítása egy PowerShell-szkript lekérését eredményezi egy támadó által vezérelt kiszolgálóról, amely viszont a feltört áldozattal kapcsolatos információkat egy GitHub-tárolóba exportálja, és további PowerShell-kódot tölt le egy Windows parancsikon (LNK) fájl segítségével.
A kutatók megjegyzik, hogy a GitHubon felfedezett bizonyítékok arra utalnak, hogy Kimsuky szándékában állt minimálisra csökkenteni az expozíciót, és rövid ideig használni kívánta a rosszindulatú programokat bizonyos személyek megcélzására.
A TRANSLATEXT, amely Google Fordítónak álcázza magát, JavaScript-kódot tartalmaz, hogy megkerülje az olyan szolgáltatások biztonsági intézkedéseit, mint a Google, a Kakao és a Naver; szifon e-mail címek, hitelesítő adatok és cookie-k; képernyőképeket készíthet a böngészőből, és kiszűrheti az ellopott adatokat.
Arra is tervezték, hogy parancsokat kérjen le a Blogger Blogspot URL-jéről, hogy képernyőképeket készítsen az újonnan megnyitott lapokról, és többek között törölje az összes cookie-t a böngészőből.
