TRANSLATEXT ਮਾਲਵੇਅਰ

ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਸਮੂਹ ਕਿਮਸੁਕੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਕਟਾਈ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਨਵੇਂ ਧਮਕੀ ਭਰੇ Google Chrome ਐਕਸਟੈਂਸ਼ਨ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਮਾਰਚ 2024 ਵਿੱਚ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜਿਆ ਗਿਆ, ਐਕਸਟੈਂਸ਼ਨ, ਜਿਸ ਨੂੰ TRANSLATEXT ਡਬ ਕੀਤਾ ਗਿਆ ਹੈ, ਈਮੇਲ ਪਤੇ, ਉਪਭੋਗਤਾ ਨਾਮ, ਪਾਸਵਰਡ, ਕੂਕੀਜ਼ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਸਕ੍ਰੀਨਸ਼ਾਟ ਇਕੱਠੇ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਨੇ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਅਕਾਦਮਿਕ ਅਦਾਰਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਸਿਆਸੀ ਮੁੱਦਿਆਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ।

ਕਿਮਸੁਕੀ ਇੱਕ ਪ੍ਰਮੁੱਖ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਹੈ

ਕਿਮਸੁਕੀ, ਉੱਤਰੀ ਕੋਰੀਆ ਦਾ ਇੱਕ ਮਸ਼ਹੂਰ ਹੈਕਿੰਗ ਸਮੂਹ ਜੋ ਘੱਟੋ ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ। ਲਾਜ਼ਰਸ ਕਲੱਸਟਰ ਅਤੇ ਰਿਕੋਨਾਈਸੈਂਸ ਜਨਰਲ ਬਿਊਰੋ (ਆਰਜੀਬੀ) ਦੇ ਹਿੱਸੇ ਨਾਲ ਸਬੰਧਿਤ, ਕਿਮਸੁਕੀ ਦੀ ਪਛਾਣ ਏਪੀਟੀ 43, ਆਰਕੀਪਲੇਗੋ, ਬਲੈਕ ਬੈਨਸ਼ੀ, ਐਮਰਾਲਡ ਸਲੀਟ, ਸਪ੍ਰਿੰਗਟੇਲ ਅਤੇ ਵੈਲਵੇਟ ਚੋਲਿਮਾ ਵਰਗੇ ਨਾਵਾਂ ਨਾਲ ਵੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਉਹਨਾਂ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਕੀਮਤੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਅਕਾਦਮਿਕ ਅਤੇ ਸਰਕਾਰੀ ਕਰਮਚਾਰੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨਾ ਹੈ।

ਕਿਮਸੁਕੀ ਦੁਆਰਾ ਅਕਸਰ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੀ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ

ਗਰੁੱਪ ਨੇ ਏਰੋਸਪੇਸ ਅਤੇ ਰੱਖਿਆ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਵਿੱਚ ਨੌਕਰੀ-ਥੀਮ ਵਾਲੇ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਕੀਲੌਗਰ ਨੂੰ ਵੰਡਣ ਲਈ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਮਾਈਕਰੋਸਾਫਟ ਆਫਿਸ ਕਮਜ਼ੋਰੀ (CVE-2017-11882) ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ। ਉਹਨਾਂ ਦਾ ਟੀਚਾ ਇੱਕ ਜਾਸੂਸੀ ਟੂਲ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਹੈ ਜੋ ਡੇਟਾ ਇਕੱਤਰ ਕਰਨ ਅਤੇ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਇਹ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਜਾਪਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਸ਼ੀਨ ਨੂੰ ਸੰਭਾਲਣ ਜਾਂ ਰਿਮੋਟਲੀ ਕੰਟਰੋਲ ਕਰਨ ਲਈ ਬੁਨਿਆਦੀ ਖੋਜ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਇਸ ਨਵੀਂ ਗਤੀਵਿਧੀ ਲਈ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਹੈ, ਪਰ ਸਮੂਹ ਨੂੰ ਲਾਗ ਚੇਨ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

TRANSLATEXT ਨੇ ਛਲ ਪੀੜਤਾਂ ਨੂੰ Google ਅਨੁਵਾਦ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ

ਹਮਲੇ ਦਾ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਹੈ ਜੋ ਕੋਰੀਆ ਦੇ ਫੌਜੀ ਇਤਿਹਾਸ ਬਾਰੇ ਦੱਸਦਾ ਹੈ ਅਤੇ ਜਿਸ ਵਿੱਚ ਦੋ ਫਾਈਲਾਂ ਹਨ: ਇੱਕ ਹੰਗੁਲ ਵਰਡ ਪ੍ਰੋਸੈਸਰ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ।

ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ PowerShell ਸਕ੍ਰਿਪਟ ਦੀ ਮੁੜ ਪ੍ਰਾਪਤੀ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨਤੀਜਿਆਂ ਨੂੰ ਲਾਂਚ ਕਰਨਾ, ਜੋ ਬਦਲੇ ਵਿੱਚ, ਇੱਕ GitHub ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਪੀੜਤ ਬਾਰੇ ਜਾਣਕਾਰੀ ਨਿਰਯਾਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਦੇ ਜ਼ਰੀਏ ਵਾਧੂ PowerShell ਕੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ GitHub 'ਤੇ ਖੋਜੇ ਗਏ ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਕਿਮਸੁਕੀ ਨੇ ਖਾਸ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਐਕਸਪੋਜ਼ਰ ਨੂੰ ਘੱਟ ਕਰਨ ਅਤੇ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਇਰਾਦਾ ਕੀਤਾ ਸੀ।

TRANSLATEXT, ਜੋ ਕਿ ਗੂਗਲ ਟ੍ਰਾਂਸਲੇਟ ਦੇ ਰੂਪ ਵਿੱਚ ਮੁਖੌਟਾ ਕਰਦਾ ਹੈ, Google, Kakao, ਅਤੇ Naver ਵਰਗੀਆਂ ਸੇਵਾਵਾਂ ਲਈ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ JavaScript ਕੋਡ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ; ਈ-ਮੇਲ ਪਤੇ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਕੂਕੀਜ਼ ਨੂੰ ਸਾਈਫਨ ਕਰੋ; ਬ੍ਰਾਊਜ਼ਰ ਸਕਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰੋ ਅਤੇ ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢੋ।

ਇਹ ਨਵੀਂਆਂ ਖੁੱਲ੍ਹੀਆਂ ਟੈਬਾਂ ਦੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਸਾਰੀਆਂ ਕੂਕੀਜ਼ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਇੱਕ Blogger Blogspot URL ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵੀ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।