ÖVERSÄTTNING Skadlig programvara
Den nordkoreanska hotgruppen Kimsuky har associerats med en ny hotfull Google Chrome-tillägg som syftar till att samla in känslig information för underrättelseinsamling. Upptäckt av forskare i mars 2024, tillägget, kallat TRANSLATEXT, kan samla in e-postadresser, användarnamn, lösenord, cookies och webbläsarskärmdumpar.
Denna kampanj har riktat sig till sydkoreanska akademiska institutioner, särskilt de som forskar om nordkoreanska politiska frågor.
Innehållsförteckning
Kimsuky är en framstående cyberbrottsgrupp
Kimsuky, en välkänd hackergrupp från Nordkorea, aktiv sedan åtminstone 2012, ägnar sig åt cyberspionage och ekonomiskt motiverade attacker mot sydkoreanska mål. Associerad med Lazarus-klustret och en del av Reconnaissance General Bureau (RGB), identifieras Kimsuky också av namn som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail och Velvet Chollima. Deras primära uppdrag är att övervaka akademisk och statlig personal för att samla in värdefull intelligens.
Spjutfiske-taktik som ofta utnyttjas av Kimsuky
Gruppen har utnyttjat en känd Microsoft Office-sårbarhet (CVE-2017-11882) för att distribuera en keylogger, med hjälp av beten med jobbtema i attacker riktade mot flyg- och försvarssektorerna. Deras mål är att distribuera ett spionageverktyg som kan samla in data och utföra sekundär nyttolast.
Denna bakdörr, som verkar vara tidigare odokumenterad, gör det möjligt för angripare att utföra grundläggande spaning och distribuera ytterligare nyttolaster för att ta över eller fjärrstyra maskinen.
Den exakta metoden för initial åtkomst för denna nya aktivitet är fortfarande oklart, men gruppen är känd för att använda spear-phishing och social ingenjörsattacker för att initiera infektionskedjan.
TRANSLATEXT Poserar som Google Translate till trickoffer
Utgångspunkten för attacken är ett ZIP-arkiv som utger sig för att handla om koreansk militärhistoria och som innehåller två filer: Ett Hangul-ordbehandlaredokument och en körbar fil.
Att starta den körbara resulterar i hämtning av ett PowerShell-skript från en angriparkontrollerad server, som i sin tur exporterar information om det komprometterade offret till ett GitHub-förråd och laddar ner ytterligare PowerShell-kod med hjälp av en Windows-genvägsfil (LNK).
Forskare noterar att upptäckta bevis på GitHub tyder på att Kimsuky hade för avsikt att minimera exponeringen och använda skadlig programvara under en kort period för att rikta in sig på specifika individer.
TRANSLATEXT, som maskerar sig som Google Translate, innehåller JavaScript-kod för att kringgå säkerhetsåtgärder för tjänster som Google, Kakao och Naver; sifon e-postadresser, referenser och cookies; fånga webbläsarskärmdumpar och exfiltrera stulen data.
Den är också utformad för att hämta kommandon från en Blogger Blogspot-URL för att ta skärmdumpar av nyöppnade flikar och radera alla cookies från webbläsaren, bland annat.
