TRANSLATEXT Perisian Hasad

Kumpulan ancaman Korea Utara Kimsuky telah dikaitkan dengan sambungan Google Chrome yang mengancam yang bertujuan untuk mendapatkan maklumat sensitif untuk pengumpulan risikan. Ditemui oleh penyelidik pada Mac 2024, sambungan itu, yang digelar TRANSLATEXT, mampu mengumpul alamat e-mel, nama pengguna, kata laluan, kuki dan tangkapan skrin penyemak imbas.

Kempen ini telah menyasarkan institusi akademik Korea Selatan, terutamanya yang menyelidik isu politik Korea Utara.

Kimsuky ialah Kumpulan Jenayah Siber Terkemuka

Kimsuky, kumpulan penggodaman terkenal dari Korea Utara yang aktif sejak sekurang-kurangnya 2012, terlibat dalam pengintipan siber dan serangan bermotifkan kewangan terhadap sasaran Korea Selatan. Dikaitkan dengan gugusan Lazarus dan sebahagian daripada Biro Am Peninjau (RGB), Kimsuky juga dikenal pasti dengan nama seperti APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail dan Velvet Chollima. Misi utama mereka adalah untuk mengawasi kakitangan akademik dan kerajaan untuk mengumpul risikan yang berharga.

Taktik pancingan lembing Sering Dieksploitasi oleh Kimsuky

Kumpulan itu telah mengeksploitasi kelemahan Microsoft Office yang diketahui (CVE-2017-11882) untuk mengedarkan keylogger, menggunakan gewang bertema pekerjaan dalam serangan yang menyasarkan sektor aeroangkasa dan pertahanan. Matlamat mereka adalah untuk menggunakan alat pengintipan yang mampu mengumpul data dan pelaksanaan muatan sekunder.

Pintu belakang ini, yang nampaknya tidak berdokumen sebelum ini, membolehkan penyerang menjalankan peninjauan asas dan menggunakan muatan tambahan untuk mengambil alih atau mengawal mesin dari jauh.

Kaedah tepat akses awal untuk aktiviti baharu ini masih tidak jelas, tetapi kumpulan itu diketahui menggunakan serangan pancingan lembing dan kejuruteraan sosial untuk memulakan rantaian jangkitan.

TRANSLATEXT Menyamar sebagai Terjemahan Google untuk Menipu Mangsa

Titik permulaan serangan ialah arkib ZIP yang dikatakan mengenai sejarah ketenteraan Korea dan yang mengandungi dua fail: Dokumen Pemproses Perkataan Hangul dan boleh laku.

Melancarkan hasil boleh laku dalam pengambilan semula skrip PowerShell daripada pelayan dikawal penyerang, yang seterusnya, mengeksport maklumat tentang mangsa yang terjejas ke repositori GitHub dan memuat turun kod PowerShell tambahan melalui fail pintasan Windows (LNK).

Penyelidik ambil perhatian bahawa bukti yang ditemui pada GitHub mencadangkan bahawa Kimsuky bertujuan untuk meminimumkan pendedahan dan menggunakan perisian hasad untuk tempoh yang singkat untuk menyasarkan individu tertentu.

TRANSLATEXT, yang menyamar sebagai Terjemahan Google, menggabungkan kod JavaScript untuk memintas langkah keselamatan untuk perkhidmatan seperti Google, Kakao dan Naver; menyedut alamat e-mel, bukti kelayakan dan kuki; tangkap tangkapan skrin pelayar dan keluarkan data yang dicuri.

Ia juga direka bentuk untuk mengambil arahan daripada URL Blogspot Blogger untuk mengambil tangkapan skrin tab yang baru dibuka dan memadam semua kuki daripada penyemak imbas, antara lain.