TRANSLATEXT Skadelig programvare
Den nordkoreanske trusselgruppen Kimsuky har blitt assosiert med en ny truende Google Chrome-utvidelse som tar sikte på å samle inn sensitiv informasjon for etterretningsinnhenting. Oppdaget av forskere i mars 2024, utvidelsen, kalt TRANSLATEXT, er i stand til å samle e-postadresser, brukernavn, passord, informasjonskapsler og nettleserskjermbilder.
Denne kampanjen har rettet seg mot sørkoreanske akademiske institusjoner, spesielt de som forsker på nordkoreanske politiske spørsmål.
Innholdsfortegnelse
Kimsuky er en fremtredende gruppe for nettkriminalitet
Kimsuky, en velkjent hackergruppe fra Nord-Korea som har vært aktiv siden minst 2012, driver med cyberspionasje og økonomisk motiverte angrep mot sørkoreanske mål. Tilknyttet Lazarus-klyngen og en del av Reconnaissance General Bureau (RGB), er Kimsuky også identifisert med navn som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail og Velvet Chollima. Deres primære oppgave er å overvåke akademisk og offentlig personell for å samle verdifull etterretning.
Spyd-phishing-taktikker ofte utnyttet av Kimsuky
Gruppen har utnyttet en kjent Microsoft Office-sårbarhet (CVE-2017-11882) for å distribuere en keylogger, ved å bruke lokkemidler med jobbtema i angrep rettet mot luftfarts- og forsvarssektorene. Målet deres er å distribuere et spionasjeverktøy som er i stand til datainnsamling og utførelse av sekundær nyttelast.
Denne bakdøren, som ser ut til å være tidligere udokumentert, gjør det mulig for angripere å utføre grunnleggende rekognosering og distribuere ekstra nyttelast for å overta eller fjernkontrollere maskinen.
Den eksakte metoden for innledende tilgang for denne nye aktiviteten er fortsatt uklar, men gruppen er kjent for å bruke spyd-phishing og sosiale ingeniørangrep for å sette i gang infeksjonskjeden.
TRANSLATEXT Poserer som Google Translate til lureofre
Utgangspunktet for angrepet er et ZIP-arkiv som utgir seg for å handle om koreansk militærhistorie og som inneholder to filer: Et Hangul-tekstbehandlerdokument og en kjørbar fil.
Å starte den kjørbare resulterer i henting av et PowerShell-skript fra en angriperkontrollert server, som igjen eksporterer informasjon om det kompromitterte offeret til et GitHub-lager og laster ned ytterligere PowerShell-kode ved hjelp av en Windows-snarveisfil (LNK).
Forskere bemerker at oppdagede bevis på GitHub tyder på at Kimsuky hadde til hensikt å minimere eksponeringen og bruke skadelig programvare i en kort periode for å målrette mot bestemte individer.
TRANSLATEXT, som maskerer seg som Google Translate, inneholder JavaScript-kode for å omgå sikkerhetstiltak for tjenester som Google, Kakao og Naver; sifon e-postadresser, legitimasjon og informasjonskapsler; ta nettleserskjermbilder og eksfiltrer stjålne data.
Den er også designet for å hente kommandoer fra en Blogger Blogspot-URL for å ta skjermbilder av nylig åpnede faner og slette alle informasjonskapsler fra nettleseren, blant annet.
