TRANSLATEXT kenkėjiška programa
Šiaurės Korėjos grėsmių grupuotė „Kimsuky“ buvo siejama su nauju grėsmingu „Google Chrome“ plėtiniu, skirtu rinkti jautrią informaciją žvalgybos informacijai rinkti. 2024 m. kovo mėn. mokslininkų aptiktas plėtinys, pavadintas TRANSLATEXT, gali rinkti el. pašto adresus, naudotojų vardus, slaptažodžius, slapukus ir naršyklės ekrano kopijas.
Ši kampanija buvo skirta Pietų Korėjos akademinėms institucijoms, ypač toms, kurios tiria Šiaurės Korėjos politines problemas.
Turinys
Kimsuky yra garsi elektroninių nusikaltimų grupė
Kimsuky, gerai žinoma įsilaužėlių grupė iš Šiaurės Korėjos, veikianti mažiausiai nuo 2012 m., užsiima kibernetiniu šnipinėjimu ir finansiškai motyvuotais išpuoliais prieš Pietų Korėjos taikinius. Kimsuky, siejamas su Lazarus spiečiu ir Generalinio žvalgybos biuro (RGB) dalimi, taip pat identifikuojamas tokiais vardais kaip APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ir Velvet Chollima. Jų pagrindinė misija yra stebėti akademinį ir vyriausybinį personalą, kad būtų surinkta vertinga informacija.
Kimsuky dažnai naudojasi sukčiavimo ietis taktika
Grupė išnaudojo žinomą „Microsoft Office“ pažeidžiamumą (CVE-2017-11882), kad platintų klavišų kaupiklį, naudodama darbo tematikos masalus atakose, nukreiptose į aviacijos ir gynybos sektorius. Jų tikslas yra įdiegti šnipinėjimo įrankį, galintį rinkti duomenis ir vykdyti antrinę naudingąją apkrovą.
Šios užpakalinės durys, kurios, atrodo, anksčiau buvo be dokumentų, leidžia užpuolikams atlikti pagrindinę žvalgybą ir panaudoti papildomus krovinius, kad galėtų perimti ar nuotoliniu būdu valdyti mašiną.
Tikslus pradinės prieigos prie šios naujos veiklos metodas lieka neaiškus, tačiau žinoma, kad grupė naudoja sukčiavimo ir socialinės inžinerijos atakas, kad inicijuotų infekcijos grandinę.
„TRANSLATEXT“ yra „Google“ vertėjas, skirtas apgauti aukas
Atakos pradžios taškas yra ZIP archyvas, kuris tariamai pasakoja apie Korėjos karinę istoriją ir kuriame yra du failai: Hangul Word Processor dokumentas ir vykdomasis failas.
Paleidus vykdomąjį failą, iš užpuoliko valdomo serverio nuskaitomas PowerShell scenarijus, kuris savo ruožtu eksportuoja informaciją apie pažeistą auką į GitHub saugyklą ir atsisiunčia papildomą PowerShell kodą naudodamas Windows nuorodų (LNK) failą.
Tyrėjai pažymi, kad „GitHub“ aptikti įrodymai rodo, kad Kimsuky ketino sumažinti poveikį ir trumpą laiką naudoti kenkėjišką programą, kad būtų nukreipta į konkrečius asmenis.
TRANSLATEXT, kuris pridengtas kaip „Google“ vertėjas, apima „JavaScript“ kodą, kad būtų išvengta tokių paslaugų kaip „Google“, „Kakao“ ir „Naver“ saugos priemonių; el. pašto adresai, kredencialai ir slapukai; fiksuoti naršyklės ekrano kopijas ir išfiltruoti pavogtus duomenis.
Jis taip pat skirtas gauti komandas iš „Blogger Blogspot“ URL, kad būtų galima padaryti naujai atidarytų skirtukų ekrano kopijas ir, be kita ko, ištrinti visus slapukus iš naršyklės.
