TRANSLATEXT Ļaunprātīga programmatūra
Ziemeļkorejas draudu grupa Kimsuky ir saistīta ar jaunu draudošu Google Chrome paplašinājumu, kura mērķis ir iegūt sensitīvu informāciju izlūkdatu vākšanai. 2024. gada martā pētnieki atklāja paplašinājumu, kas nodēvēts par TRANSLATEXT, un tas spēj apkopot e-pasta adreses, lietotājvārdus, paroles, sīkfailus un pārlūkprogrammas ekrānuzņēmumus.
Šīs kampaņas mērķauditorija ir Dienvidkorejas akadēmiskās institūcijas, īpaši tās, kas pēta Ziemeļkorejas politiskos jautājumus.
Satura rādītājs
Kimsuky ir ievērojama kibernoziedzības grupa
Kimsuky, plaši pazīstama hakeru grupa no Ziemeļkorejas, kas darbojas vismaz kopš 2012. gada, iesaistās kiberspiegošanā un finansiāli motivētos uzbrukumos pret Dienvidkorejas mērķiem. Saistīts ar Lazarus kopu un daļa no Reconnaissance General Bureau (RGB), Kimsuky tiek identificēts arī ar tādiem vārdiem kā APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail un Velvet Chollima. Viņu galvenā misija ir uzraudzīt akadēmisko un valdības personālu, lai savāktu vērtīgu informāciju.
Šķēpu pikšķerēšanas taktika, ko bieži izmanto Kimsuky
Grupa ir izmantojusi zināmu Microsoft Office ievainojamību (CVE-2017-11882), lai izplatītu taustiņu bloķētāju, izmantojot ar darbu saistītas vilinājumus uzbrukumos, kuru mērķis ir aviācijas un aizsardzības nozares. Viņu mērķis ir izvietot spiegošanas rīku, kas spēj apkopot datus un izpildīt sekundāro slodzi.
Šīs aizmugurējās durvis, kas, šķiet, iepriekš nebija dokumentētas, ļauj uzbrucējiem veikt pamata izlūkošanu un izvietot papildu kravas, lai pārņemtu vai attālināti vadītu mašīnu.
Precīza sākotnējās piekļuves metode šai jaunajai darbībai joprojām nav skaidra, taču ir zināms, ka grupa izmanto šķēpu pikšķerēšanas un sociālās inženierijas uzbrukumus, lai uzsāktu infekcijas ķēdi.
TRANSLATEXT ir Google tulkotājs, lai apmānītu upurus
Uzbrukuma sākumpunkts ir ZIP arhīvs, kas it kā ir par Korejas militāro vēsturi un kurā ir divi faili: Hangul Word Processor dokuments un izpildāmais fails.
Palaižot izpildāmo failu, no uzbrucēja kontrolēta servera tiek izgūts PowerShell skripts, kas, savukārt, eksportē informāciju par apdraudēto upuri uz GitHub repozitoriju un lejupielādē papildu PowerShell kodu, izmantojot Windows saīsnes (LNK) failu.
Pētnieki atzīmē, ka GitHub atklātie pierādījumi liecina, ka Kimsuky plānoja samazināt saskari un īsu laiku izmantot ļaunprātīgu programmatūru, lai mērķētu uz konkrētām personām.
TRANSLATEXT, kas tiek maskēts kā Google tulkotājs, ietver JavaScript kodu, lai apietu drošības pasākumus tādiem pakalpojumiem kā Google, Kakao un Naver; sifona e-pasta adreses, akreditācijas dati un sīkfaili; tveriet pārlūkprogrammas ekrānuzņēmumus un izfiltrējiet nozagtos datus.
Tas ir arī izstrādāts, lai iegūtu komandas no Blogger Blogspot URL, lai uzņemtu ekrānuzņēmumus no tikko atvērtajām cilnēm un dzēstu visus sīkfailus no pārlūkprogrammas.
