ТРАНСЛАТЕКСТ Вредоносное ПО
Северокорейская группа угроз Kimsuky была связана с новым угрожающим расширением Google Chrome, предназначенным для сбора конфиденциальной информации для сбора разведывательной информации. Обнаруженное исследователями в марте 2024 года расширение, получившее название TRANSLATEXT, способно собирать адреса электронной почты, имена пользователей, пароли, файлы cookie и снимки экрана браузера.
Эта кампания нацелена на южнокорейские академические учреждения, особенно на те, которые исследуют политические проблемы Северной Кореи.
Оглавление
Kimsuky – известная группа по борьбе с киберпреступностью.
Kimsuky, известная хакерская группа из Северной Кореи, действующая как минимум с 2012 года, занимается кибершпионажем и финансово мотивированными атаками на южнокорейские объекты. Связанный с кластером Лазаря и являющийся частью Генерального разведывательного управления (РГБ), Кимсуки также известен по таким именам, как APT43, АРХИПЕЛАГО, Черная Банши, Изумрудный Слит, Спрингтейл и Бархатная Чоллима. Их основная задача — наблюдение за академическими и правительственными сотрудниками для сбора ценной разведывательной информации.
Тактика целевого фишинга, часто используемая Кимсуки
Группа воспользовалась известной уязвимостью Microsoft Office (CVE-2017-11882) для распространения кейлоггера, используя приманки на тему работы в атаках, нацеленных на аэрокосмический и оборонный секторы. Их цель — развернуть шпионский инструмент, способный собирать данные и выполнять вторичную полезную нагрузку.
Этот бэкдор, который, судя по всему, ранее не был документирован, позволяет злоумышленникам проводить базовую разведку и развертывать дополнительные полезные нагрузки для захвата или удаленного управления машиной.
Точный метод первоначального доступа к этой новой деятельности остается неясным, но известно, что группа использует целевой фишинг и атаки социальной инженерии, чтобы инициировать цепочку заражения.
TRANSLATEXT выдает себя за Google Translate перед жертвами обмана
Отправной точкой атаки является ZIP-архив, который якобы посвящен военной истории Кореи и содержит два файла: документ текстового процессора Hangul и исполняемый файл.
Запуск исполняемого файла приводит к получению PowerShell-скрипта с подконтрольного злоумышленнику сервера, который, в свою очередь, экспортирует информацию о скомпрометированной жертве в репозиторий GitHub и загружает дополнительный код PowerShell с помощью файла ярлыка Windows (LNK).
Исследователи отмечают, что обнаруженные на GitHub доказательства позволяют предположить, что Кимсуки намеревался свести к минимуму воздействие и использовать вредоносное ПО в течение короткого периода времени для нападения на конкретных лиц.
TRANSLATEXT, маскирующийся под Google Translate, включает в себя код JavaScript для обхода мер безопасности таких сервисов, как Google, Kakao и Naver; перекачивать адреса электронной почты, учетные данные и файлы cookie; Делайте снимки экрана браузера и извлекайте украденные данные.
Он также предназначен для получения команд с URL-адреса Blogger Blogspot для создания снимков экрана недавно открытых вкладок и удаления всех файлов cookie из браузера, среди прочего.
