TRANSLATEXT Zlonamerna programska oprema
Severnokorejska grozilna skupina Kimsuky je bila povezana z novo grozečo razširitvijo za Google Chrome, katere cilj je zbiranje občutljivih informacij za zbiranje obveščevalnih podatkov. Razširitev, poimenovana TRANSLATEXT, ki so jo raziskovalci odkrili marca 2024, lahko zbira e-poštne naslove, uporabniška imena, gesla, piškotke in posnetke zaslona brskalnika.
Ta kampanja je bila usmerjena na južnokorejske akademske ustanove, zlasti tiste, ki raziskujejo severnokorejska politična vprašanja.
Kazalo
Kimsuky je ugledna skupina za kibernetski kriminal
Kimsuky, dobro znana hekerska skupina iz Severne Koreje, ki deluje vsaj od leta 2012, se ukvarja s kibernetskim vohunjenjem in finančno motiviranimi napadi na južnokorejske tarče. Povezan z grozdom Lazarus in delom Generalnega izvidniškega urada (RGB), je Kimsuky identificiran tudi z imeni, kot so APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail in Velvet Chollima. Njihova primarna naloga je nadzorovanje akademskega in vladnega osebja za zbiranje dragocenih obveščevalnih podatkov.
Taktike lažnega predstavljanja, ki jih pogosto izkorišča Kimsuky
Skupina je izkoristila znano ranljivost Microsoft Office (CVE-2017-11882) za distribucijo keyloggerja, pri čemer je uporabila vabe na temo službe v napadih, usmerjenih v vesoljski in obrambni sektor. Njihov cilj je uvesti orodje za vohunjenje, ki je zmožno zbiranja podatkov in sekundarne izvedbe tovora.
Ta zadnja vrata, za katera se zdi, da prej niso bila dokumentirana, omogočajo napadalcem, da izvedejo osnovno izvidovanje in namestijo dodatne koristne obremenitve za prevzem ali daljinsko upravljanje stroja.
Natančna metoda začetnega dostopa za to novo dejavnost ostaja nejasna, vendar je znano, da skupina uporablja lažno predstavljanje in napade socialnega inženiringa, da sproži verigo okužbe.
TRANSLATEXT se predstavlja kot Google Translate za pretentanje žrtev
Začetna točka napada je arhiv ZIP, ki naj bi govoril o korejski vojaški zgodovini in vsebuje dve datoteki: dokument procesorja besedila Hangul in izvršljivo datoteko.
Rezultat zagona izvedljive datoteke je pridobitev skripta PowerShell s strežnika, ki ga nadzoruje napadalec, ta pa izvozi informacije o ogroženi žrtvi v repozitorij GitHub in prenese dodatno kodo PowerShell s pomočjo datoteke bližnjice Windows (LNK).
Raziskovalci ugotavljajo, da odkriti dokazi na GitHubu kažejo, da je Kimsuky nameraval zmanjšati izpostavljenost in zlonamerno programsko opremo za kratek čas uporabiti za ciljanje na določene posameznike.
TRANSLATEXT, ki se predstavlja kot Google Translate, vključuje kodo JavaScript za izogibanje varnostnim ukrepom za storitve, kot so Google, Kakao in Naver; črpanje e-poštnih naslovov, poverilnic in piškotkov; zajemanje posnetkov zaslona brskalnika in izločanje ukradenih podatkov.
Zasnovan je tudi za pridobivanje ukazov iz URL-ja Blogger Blogspot za snemanje posnetkov zaslona na novo odprtih zavihkov in brisanje vseh piškotkov iz brskalnika, med drugim.
