បកប្រែមេរោគ
ក្រុមគម្រាមកំហែងកូរ៉េខាងជើង Kimsuky ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងផ្នែកបន្ថែម Google Chrome ដែលកំពុងគំរាមកំហែងថ្មី ក្នុងគោលបំណងប្រមូលព័ត៌មានរសើបសម្រាប់ការប្រមូលផ្តុំស៊ើបការណ៍។ រកឃើញដោយអ្នកស្រាវជ្រាវក្នុងខែមីនា ឆ្នាំ 2024 ផ្នែកបន្ថែមដែលមានឈ្មោះថា TRANSLATEXT មានសមត្ថភាពប្រមូលអាសយដ្ឋានអ៊ីមែល ឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ ខូគី និងរូបថតអេក្រង់របស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត។
យុទ្ធនាការនេះបានកំណត់គោលដៅលើស្ថាប័នសិក្សារបស់កូរ៉េខាងត្បូង ជាពិសេសអ្នកដែលស្រាវជ្រាវបញ្ហានយោបាយកូរ៉េខាងជើង។
តារាងមាតិកា
Kimsuky គឺជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដ៏លេចធ្លោ
Kimsuky ដែលជាក្រុម hacking ដ៏ល្បីមួយមកពីប្រទេសកូរ៉េខាងជើង ដែលសកម្មតាំងពីឆ្នាំ 2012 មក ធ្វើសកម្មភាពចារកម្មតាមអ៊ីនធឺណិត និងការវាយប្រហារដោយហេតុផលហិរញ្ញវត្ថុប្រឆាំងនឹងគោលដៅរបស់កូរ៉េខាងត្បូង។ ភ្ជាប់ជាមួយក្រុម Lazarus និងជាផ្នែកមួយនៃការិយាល័យ Reconnaissance General Bureau (RGB) Kimsuky ក៏ត្រូវបានកំណត់អត្តសញ្ញាណផងដែរដោយឈ្មោះដូចជា APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail, និង Velvet Chollima ។ បេសកកម្មចម្បងរបស់ពួកគេគឺដើម្បីឃ្លាំមើលអ្នកសិក្សានិងបុគ្គលិករដ្ឋាភិបាលដើម្បីប្រមូលបញ្ញាដ៏មានតម្លៃ។
ល្បិចបន្លំ Spear-phishing ជាញឹកញាប់ត្រូវបានកេងប្រវ័ញ្ចដោយ Kimsuky
ក្រុមនេះបានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់ Microsoft Office (CVE-2017-11882) ដើម្បីចែកចាយ keylogger ដោយប្រើការទាក់ទាញតាមប្រធានបទការងារក្នុងការវាយប្រហារដែលផ្តោតលើវិស័យអវកាស និងវិស័យការពារជាតិ។ គោលដៅរបស់ពួកគេគឺដើម្បីដាក់ពង្រាយឧបករណ៍ចារកម្មដែលមានសមត្ថភាពប្រមូលទិន្នន័យ និងការប្រតិបត្តិបន្ទុកបន្ទាប់បន្សំ។
Backdoor នេះ ដែលហាក់ដូចជាមិនមានឯកសារពីមុន អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការស៊ើបអង្កេតជាមូលដ្ឋាន និងដាក់ពង្រាយបន្ទុកបន្ថែមសម្រាប់ការកាន់កាប់ ឬគ្រប់គ្រងម៉ាស៊ីនពីចម្ងាយ។
វិធីសាស្រ្តពិតប្រាកដនៃការចូលប្រើដំបូងសម្រាប់សកម្មភាពថ្មីនេះនៅតែមិនច្បាស់លាស់ ប៉ុន្តែក្រុមនេះត្រូវបានគេដឹងថាប្រើ spear-phishing និង social engineering attacks ដើម្បីផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លងមេរោគ។
TRANSLATEXT ចាត់ទុកជា Google Translate ទៅកាន់ជនរងគ្រោះដោយល្បិច
ចំណុចចាប់ផ្តើមនៃការវាយប្រហារគឺឯកសារ ZIP ដែលបង្ហាញពីប្រវត្តិយោធាកូរ៉េ និងមានឯកសារពីរ៖ ឯកសារដំណើរការពាក្យ Hangul និងអាចប្រតិបត្តិបាន។
ការបើកដំណើរការលទ្ធផលដែលអាចប្រតិបត្តិបានក្នុងការទាញយកស្គ្រីប PowerShell ពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលនាំចេញព័ត៌មានអំពីជនរងគ្រោះដែលត្រូវបានសម្របសម្រួលទៅកាន់ឃ្លាំង GitHub និងទាញយកកូដ PowerShell បន្ថែមដោយមធ្យោបាយនៃឯកសារផ្លូវកាត់ Windows (LNK) ។
អ្នកស្រាវជ្រាវកត់សម្គាល់ថាភស្តុតាងដែលបានរកឃើញនៅលើ GitHub បង្ហាញថា Kimsuky មានបំណងកាត់បន្ថយការប៉ះពាល់ និងប្រើប្រាស់មេរោគក្នុងរយៈពេលខ្លីដើម្បីកំណត់គោលដៅបុគ្គលជាក់លាក់។
TRANSLATEXT ដែលក្លែងបន្លំជា Google Translate បញ្ចូលកូដ JavaScript ដើម្បីចៀសវៀងវិធានការសុវត្ថិភាពសម្រាប់សេវាកម្មដូចជា Google, Kakao និង Naver ។ siphon អាសយដ្ឋានអ៊ីមែល អត្តសញ្ញាណប័ណ្ណ និងខូគី; ចាប់យករូបថតអេក្រង់របស់កម្មវិធីរុករក និងទាញយកទិន្នន័យដែលលួច។
វាក៏ត្រូវបានរចនាឡើងផងដែរ ដើម្បីទាញយកពាក្យបញ្ជាពី Blogger Blogspot URL ដើម្បីថតរូបអេក្រង់នៃផ្ទាំងដែលទើបនឹងបើកថ្មី និងលុបខូគីទាំងអស់ចេញពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត។
