TRANSLATEXT Malvér
Severokórejská skupina hrozieb Kimsuky bola spojená s novým hrozivým rozšírením prehliadača Google Chrome, ktorého cieľom je získavať citlivé informácie na zhromažďovanie spravodajských informácií. Rozšírenie s názvom TRANSLATEXT, ktoré objavili výskumníci v marci 2024, je schopné zhromažďovať e-mailové adresy, používateľské mená, heslá, súbory cookie a snímky obrazovky prehliadača.
Táto kampaň sa zamerala na juhokórejské akademické inštitúcie, najmä na tie, ktoré skúmajú severokórejské politické problémy.
Obsah
Kimsuky je popredná skupina pre počítačovú kriminalitu
Kimsuky, známa hackerská skupina zo Severnej Kórey, ktorá pôsobí prinajmenšom od roku 2012, sa zapája do kyberšpionáže a finančne motivovaných útokov proti juhokórejským cieľom. Kimsuky, spojený s klastrom Lazarus a súčasťou Reconnaissance General Bureau (RGB), je tiež identifikovaný menami ako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail a Velvet Chollima. Ich primárnym poslaním je dohliadať na akademických a vládnych pracovníkov, aby získali cenné informácie.
Taktika spear-phishingu, ktorú Kimsuky často využíva
Skupina využila známu zraniteľnosť balíka Microsoft Office (CVE-2017-11882) na distribúciu keyloggera pomocou návnad s tematikou práce pri útokoch zameraných na letecký a obranný sektor. Ich cieľom je nasadiť špionážny nástroj schopný zbierať dáta a vykonávať sekundárne užitočné zaťaženie.
Toto zadné vrátka, ktoré sa zdá byť predtým nezdokumentované, umožňuje útočníkom vykonávať základný prieskum a nasadiť ďalšie užitočné zaťaženie na prevzatie alebo diaľkové ovládanie stroja.
Presná metóda počiatočného prístupu k tejto novej aktivite zostáva nejasná, ale je známe, že skupina používa spear-phishing a útoky sociálneho inžinierstva na spustenie infekčného reťazca.
TRANSLATEXT predstavuje ako Google Translate to Trick Victims
Počiatočným bodom útoku je archív ZIP, ktorý údajne pojednáva o kórejskej vojenskej histórii a ktorý obsahuje dva súbory: dokument textového procesora Hangul a spustiteľný súbor.
Spustenie spustiteľného súboru má za následok získanie skriptu PowerShell zo servera kontrolovaného útočníkom, ktorý následne exportuje informácie o napadnutej obeti do úložiska GitHub a stiahne ďalší kód PowerShell pomocou súboru skratky Windows (LNK).
Výskumníci poznamenávajú, že objavené dôkazy na GitHub naznačujú, že Kimsuky mal v úmysle minimalizovať expozíciu a použiť malvér na krátke obdobie na zacielenie na konkrétnych jednotlivcov.
TRANSLATEXT, ktorý sa maskuje ako Google Translate, obsahuje kód JavaScript na obídenie bezpečnostných opatrení pre služby ako Google, Kakao a Naver; sifónové e-mailové adresy, poverenia a súbory cookie; zachytávajte snímky obrazovky prehliadača a extrahujte ukradnuté údaje.
Je tiež navrhnutý tak, aby načítal príkazy z adresy URL Blogger Blogspot na vytváranie snímok obrazovky novootvorených kariet a odstraňovanie všetkých súborov cookie z prehliadača, okrem iného.
