TRANSLATEXT Malware
De Noord-Koreaanse dreigingsgroep Kimsuky is in verband gebracht met een nieuwe bedreigende Google Chrome-extensie, gericht op het verzamelen van gevoelige informatie voor het verzamelen van inlichtingen. De extensie, genaamd TRANSLATEXT, werd in maart 2024 door onderzoekers ontdekt en kan e-mailadressen, gebruikersnamen, wachtwoorden, cookies en browserscreenshots verzamelen.
Deze campagne was gericht op Zuid-Koreaanse academische instellingen, met name op instellingen die onderzoek doen naar Noord-Koreaanse politieke kwesties.
Inhoudsopgave
Kimsuky is een prominente cybercriminaliteitsgroep
Kimsuky, een bekende hackgroep uit Noord-Korea die minstens sinds 2012 actief is, houdt zich bezig met cyberspionage en financieel gemotiveerde aanvallen op Zuid-Koreaanse doelen. Geassocieerd met de Lazarus-cluster en onderdeel van het Reconnaissance General Bureau (RGB), wordt Kimsuky ook geïdentificeerd onder namen als APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail en Velvet Chollima. Hun voornaamste missie is het monitoren van academisch en overheidspersoneel om waardevolle informatie te verzamelen.
Speerphishing-tactieken worden vaak uitgebuit door Kimsuky
De groep heeft misbruik gemaakt van een bekende Microsoft Office-kwetsbaarheid (CVE-2017-11882) om een keylogger te verspreiden, waarbij gebruik wordt gemaakt van lokmiddelen met een banenthema bij aanvallen gericht op de lucht- en ruimtevaart- en defensiesector. Hun doel is om een spionagetool in te zetten die gegevens kan verzamelen en secundaire payloads kan uitvoeren.
Deze achterdeur, die voorheen ongedocumenteerd leek te zijn, stelt aanvallers in staat basisverkenningen uit te voeren en extra ladingen in te zetten om de machine over te nemen of op afstand te besturen.
De exacte methode van initiële toegang voor deze nieuwe activiteit blijft onduidelijk, maar het is bekend dat de groep spearphishing- en social engineering-aanvallen gebruikt om de infectieketen te initiëren.
TRANSLATEXT doet zich voor als Google Translate om slachtoffers te misleiden
Het startpunt van de aanval is een ZIP-archief dat beweert over de Koreaanse militaire geschiedenis te gaan en dat twee bestanden bevat: een Hangul-tekstverwerker-document en een uitvoerbaar bestand.
Het starten van het uitvoerbare bestand resulteert in het ophalen van een PowerShell-script van een door de aanvaller bestuurde server, die op zijn beurt informatie over het aangetaste slachtoffer exporteert naar een GitHub-repository en aanvullende PowerShell-code downloadt door middel van een Windows-snelkoppelingsbestand (LNK).
Onderzoekers merken op dat gevonden bewijsmateriaal op GitHub suggereert dat Kimsuky van plan was de blootstelling te minimaliseren en de malware voor een korte periode te gebruiken om zich op specifieke individuen te richten.
TRANSLATEXT, dat zich voordoet als Google Translate, bevat JavaScript-code om beveiligingsmaatregelen voor services als Google, Kakao en Naver te omzeilen; e-mailadressen, inloggegevens en cookies overhevelen; maak browserscreenshots en exfiltreer gestolen gegevens.
Het is ook ontworpen om opdrachten op te halen van een Blogger Blogspot-URL om onder meer schermafbeeldingen te maken van nieuw geopende tabbladen en alle cookies uit de browser te verwijderen.
