TRANSLATEXT 악성코드

북한 위협 그룹 Kimsuky는 정보 수집을 위해 민감한 정보를 수집하는 것을 목표로 하는 새로운 위협적인 Google Chrome 확장 프로그램과 연관되어 있습니다. 2024년 3월 연구원들이 발견한 TRANSLATEXT라는 확장 프로그램은 이메일 주소, 사용자 이름, 비밀번호, 쿠키 및 브라우저 스크린샷을 수집할 수 있습니다.

이 캠페인은 한국의 학술 기관, 특히 북한의 정치 문제를 연구하는 기관을 대상으로 했습니다.

Kimsuky는 저명한 사이버 범죄 그룹입니다.

최소한 2012년부터 활동해온 북한의 유명한 해킹 그룹인 김수키(Kimsuky)는 한국 목표물을 대상으로 사이버 간첩 활동과 금전적 동기를 지닌 공격에 가담하고 있습니다. Lazarus 클러스터 및 정찰총국(RGB)의 일부와 관련되어 있는 Kimsuky는 APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail 및 Velvet Chollima와 같은 이름으로도 식별됩니다. 그들의 주요 임무는 귀중한 정보를 수집하기 위해 학계 및 정부 인사를 감시하는 것입니다.

Kimsuky가 자주 사용하는 스피어 피싱 전술

이 그룹은 알려진 Microsoft Office 취약점(CVE-2017-11882)을 악용하여 항공우주 및 국방 부문을 대상으로 하는 공격에서 직업 테마의 미끼를 사용하여 키로거를 배포했습니다. 그들의 목표는 데이터 수집 및 보조 페이로드 실행이 가능한 간첩 도구를 배포하는 것입니다.

이전에 문서화되지 않은 것으로 보이는 이 백도어를 통해 공격자는 기본적인 정찰을 수행하고 시스템을 장악하거나 원격으로 제어하기 위한 추가 페이로드를 배포할 수 있습니다.

이 새로운 활동에 대한 초기 액세스의 정확한 방법은 아직 불분명하지만 이 그룹은 스피어 피싱 및 사회 공학 공격을 사용하여 감염 체인을 시작하는 것으로 알려져 있습니다.

TRANSLATEXT는 사기 피해자를 위해 Google 번역으로 가장합니다.

공격의 시작점은 한국 군사 역사에 관한 것으로 주장되는 ZIP 아카이브이며 여기에는 한글 워드 프로세서 문서와 실행 파일이라는 두 가지 파일이 포함되어 있습니다.

실행 파일을 실행하면 공격자가 제어하는 서버에서 PowerShell 스크립트가 검색되고, 그러면 손상된 피해자에 대한 정보가 GitHub 저장소로 내보내지고 Windows 바로 가기(LNK) 파일을 통해 추가 PowerShell 코드가 다운로드됩니다.

연구원들은 GitHub에서 발견된 증거에 따르면 Kimsuky가 특정 개인을 표적으로 삼기 위해 노출을 최소화하고 단기간 동안 악성 코드를 사용하려고 의도했음을 암시합니다.

Google 번역으로 가장하는 TRANSLATEXT는 Google, Kakao, Naver와 같은 서비스에 대한 보안 조치를 우회하기 위해 JavaScript 코드를 통합합니다. 이메일 주소, 자격 증명 및 쿠키를 사이펀으로 수집합니다. 브라우저 스크린샷을 캡처하고 도난당한 데이터를 추출하세요.

또한 Blogger Blogspot URL에서 명령을 가져와 새로 열린 탭의 스크린샷을 찍고 브라우저에서 모든 쿠키를 삭제하도록 설계되었습니다.