TRANSLATEXT मालवेयर
उत्तर कोरियाली धम्की समूह किमसुकी गुप्तचर भेलाका लागि संवेदनशील जानकारी संकलन गर्ने उद्देश्यले नयाँ धम्कीपूर्ण गुगल क्रोम विस्तारसँग सम्बन्धित छ। मार्च २०२४ मा अन्वेषकहरूले पत्ता लगाएको, TRANSLATEXT डब गरिएको विस्तारले इमेल ठेगाना, प्रयोगकर्ता नाम, पासवर्ड, कुकीहरू र ब्राउजर स्क्रिनसटहरू सङ्कलन गर्न सक्षम छ।
यो अभियानले दक्षिण कोरियाली शैक्षिक संस्थाहरू, विशेष गरी उत्तर कोरियाली राजनीतिक मुद्दाहरूको अनुसन्धान गर्नेहरूलाई लक्षित गरेको छ।
सामग्रीको तालिका
किमसुकी एक प्रख्यात साइबर अपराध समूह हो
कम्तिमा 2012 देखि सक्रिय उत्तर कोरियाको प्रख्यात ह्याकिङ समूह किमसुकी साइबर जासुसी र दक्षिण कोरियाली लक्ष्यहरू विरुद्ध आर्थिक रूपमा उत्प्रेरित आक्रमणहरूमा संलग्न छ। Lazarus क्लस्टर र Reconnaissance General Bureau (RGB) को भागसँग सम्बद्ध, किमसुकीलाई APT43, ArchipelaGO, Black Banshee, Emerald Sleet, Springtail, र Velvet Chollima जस्ता नामहरूले पनि चिनिन्छ। तिनीहरूको प्राथमिक मिशन भनेको बहुमूल्य बुद्धिमत्ता सङ्कलन गर्न शैक्षिक र सरकारी कर्मचारीहरूको सर्वेक्षण गर्नु हो।
किमसुकीद्वारा प्राय: भाला-फिशिङ युक्तिहरू प्रयोग गरिन्छ
समूहले एयरोस्पेस र रक्षा क्षेत्रहरूलाई लक्षित गर्ने आक्रमणहरूमा काम-थीमयुक्त प्रलोभनहरू प्रयोग गरेर किलगर वितरण गर्न ज्ञात माइक्रोसफ्ट अफिस कमजोरी (CVE-2017-11882) को दुरुपयोग गरेको छ। तिनीहरूको लक्ष्य डाटा सङ्कलन र माध्यमिक पेलोड कार्यान्वयन गर्न सक्षम एउटा जासुसी उपकरण तैनाती गर्नु हो।
यो ब्याकडोर, जुन पहिले कागजात नभएको देखिन्छ, आक्रमणकारीहरूलाई आधारभूत टोपन सञ्चालन गर्न र मेसिनलाई टाढाबाट नियन्त्रण गर्न वा नियन्त्रण गर्न थप पेलोडहरू प्रयोग गर्न सक्षम बनाउँछ।
यस नयाँ गतिविधिको लागि प्रारम्भिक पहुँचको सही विधि अस्पष्ट रहन्छ, तर समूहले संक्रमण श्रृंखला सुरु गर्न भाला-फिसिङ र सामाजिक ईन्जिनियरिङ् आक्रमणहरू प्रयोग गर्न चिनिन्छ।
TRANSLATEXT गुगल ट्रान्सलेटको रूपमा ट्रिक विक्टिमहरूलाई प्रस्तुत गर्दछ
आक्रमणको सुरुवात बिन्दु एक जिप अभिलेख हो जुन कोरियाली सैन्य इतिहासको बारेमा हो र जसमा दुई फाइलहरू छन्: हङ्गुल वर्ड प्रोसेसर कागजात र कार्यान्वयनयोग्य।
आक्रमणकारी-नियन्त्रित सर्भरबाट PowerShell स्क्रिप्टको पुन: प्राप्तिमा कार्यान्वयनयोग्य नतिजाहरू सुरु गर्दै, जसले, GitHub भण्डारमा सम्झौता पीडितको बारेमा जानकारी निर्यात गर्दछ र Windows सर्टकट (LNK) फाइलको माध्यमबाट अतिरिक्त PowerShell कोड डाउनलोड गर्दछ।
अन्वेषकहरूले नोट गरे कि GitHub मा पत्ता लगाइएको प्रमाणले सुझाव दिन्छ कि किमसुकीले एक्सपोजर कम गर्न र मालवेयरलाई छोटो अवधिको लागि विशिष्ट व्यक्तिहरूलाई लक्षित गर्न प्रयोग गर्न खोजेको थियो।
TRANSLATEXT, जुन Google Translate को रूपमा मास्करेड गर्दछ, Google, Kakao, र Naver जस्ता सेवाहरूको लागि सुरक्षा उपायहरू बाइपास गर्न जाभास्क्रिप्ट कोड समावेश गर्दछ; सिफन इमेल ठेगानाहरू, प्रमाणहरू, र कुकीहरू; ब्राउजरका स्क्रिनसटहरू खिच्नुहोस् र चोरी भएको डाटा निकाल्नुहोस्।
यो ब्लगर ब्लगस्पट URL बाट नयाँ खोलिएका ट्याबहरूको स्क्रिनसटहरू लिन र ब्राउजरबाट सबै कुकीहरू मेटाउनका लागि पनि डिजाइन गरिएको छ।
