TRANSLATEXT Złośliwe oprogramowanie
Północnokoreańska grupa zagrażająca Kimsuky została powiązana z nowym, groźnym rozszerzeniem do przeglądarki Google Chrome, którego celem jest zbieranie poufnych informacji na potrzeby gromadzenia danych wywiadowczych. Odkryte przez badaczy w marcu 2024 r. rozszerzenie, nazwane TRANSLATEXT, może zbierać adresy e-mail, nazwy użytkowników, hasła, pliki cookie i zrzuty ekranu przeglądarki.
Celem tej kampanii były południowokoreańskie instytucje akademickie, w szczególności te badające północnokoreańskie kwestie polityczne.
Spis treści
Kimsuky to wiodąca grupa zajmująca się cyberprzestępczością
Kimsuky, dobrze znana grupa hakerska z Korei Północnej, działająca co najmniej od 2012 r., angażuje się w cyberszpiegostwo i ataki o charakterze finansowym na cele w Korei Południowej. Powiązana z gromadą Lazarus i częścią Generalnego Biura Rozpoznania (RGB), Kimsuky jest również identyfikowana pod nazwami takimi jak APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail i Velvet Chollima. Ich główną misją jest inwigilacja personelu akademickiego i rządowego w celu gromadzenia cennych informacji wywiadowczych.
Taktyki spear-phishingu często wykorzystywane przez Kimsuky
Grupa wykorzystała znaną lukę w zabezpieczeniach pakietu Microsoft Office (CVE-2017-11882) w celu dystrybucji keyloggera, wykorzystując przynęty związane z pracą w atakach wymierzonych w sektor lotniczy i obronny. Ich celem jest wdrożenie narzędzia szpiegowskiego zdolnego do gromadzenia danych i wykonywania dodatkowego ładunku.
Ten backdoor, który wydaje się być wcześniej nieudokumentowany, umożliwia atakującym przeprowadzenie podstawowego rozpoznania i rozmieszczenie dodatkowych ładunków w celu przejęcia lub zdalnego sterowania maszyną.
Dokładna metoda początkowego dostępu do tej nowej aktywności pozostaje niejasna, ale wiadomo, że grupa wykorzystuje ataki typu spear-phishing i socjotechnikę w celu zainicjowania łańcucha infekcji.
TRANSLATEXT udaje Tłumacza Google, aby oszukać ofiary
Punktem wyjścia ataku jest archiwum ZIP, które rzekomo dotyczy historii wojskowości Korei i zawiera dwa pliki: dokument edytora tekstu Hangul oraz plik wykonywalny.
Uruchomienie pliku wykonywalnego powoduje pobranie skryptu PowerShell z serwera kontrolowanego przez atakującego, który z kolei eksportuje informacje o zaatakowanej ofierze do repozytorium GitHub i pobiera dodatkowy kod PowerShell za pomocą pliku skrótu Windows (LNK).
Badacze zauważają, że dowody znalezione w GitHubie sugerują, że Kimsuky zamierzał zminimalizować narażenie i używać szkodliwego oprogramowania przez krótki czas, aby atakować określone osoby.
TRANSLATEXT, podający się za Tłumacz Google, zawiera kod JavaScript w celu ominięcia zabezpieczeń usług takich jak Google, Kakao i Naver; wysysanie adresów e-mail, danych uwierzytelniających i plików cookie; przechwytuj zrzuty ekranu przeglądarki i wydobywaj skradzione dane.
Umożliwia także pobieranie poleceń z adresu URL Bloggera Blogspot, między innymi wykonywanie zrzutów ekranu nowo otwartych kart i usuwanie wszystkich plików cookie z przeglądarki.
