มัลแวร์แปล
กลุ่มภัยคุกคาม Kimsuky ของเกาหลีเหนือมีความเชื่อมโยงกับส่วนขยาย Google Chrome ที่เป็นภัยคุกคามใหม่ซึ่งมีจุดมุ่งหมายเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนเพื่อรวบรวมข่าวกรอง ค้นพบโดยนักวิจัยในเดือนมีนาคม 2024 ส่วนขยายที่มีชื่อว่า TRANSLATEXT สามารถรวบรวมที่อยู่อีเมล ชื่อผู้ใช้ รหัสผ่าน คุกกี้ และภาพหน้าจอของเบราว์เซอร์
แคมเปญนี้มุ่งเป้าไปที่สถาบันการศึกษาของเกาหลีใต้ โดยเฉพาะผู้ที่ค้นคว้าประเด็นทางการเมืองของเกาหลีเหนือ
สารบัญ
Kimsuky เป็นกลุ่มอาชญากรรมไซเบอร์ที่โดดเด่น
Kimsuky กลุ่มแฮ็กเกอร์ชื่อดังจากเกาหลีเหนือที่เปิดใช้งานมาตั้งแต่ปี 2012 เป็นอย่างน้อย มีส่วนร่วมในการจารกรรมทางไซเบอร์และการโจมตีที่มีแรงจูงใจทางการเงินต่อเป้าหมายของเกาหลีใต้ คิมซูกีมีความเกี่ยวข้องกับกระจุกลาซารัสและเป็นส่วนหนึ่งของสำนักงานลาดตระเวนทั่วไป (RGB) นอกจากนี้ ยังมีการระบุชื่อคิมซูกีด้วยชื่อต่างๆ เช่น APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail และ Velvet Chollima ภารกิจหลักของพวกเขาคือการสำรวจบุคลากรด้านวิชาการและภาครัฐเพื่อรวบรวมข้อมูลอันมีค่า
กลยุทธ์ฟิชชิ่งแบบหอกมักถูกใช้โดย Kimsuky
กลุ่มนี้ได้ใช้ประโยชน์จากช่องโหว่ Microsoft Office (CVE-2017-11882) ที่เป็นที่รู้จักเพื่อแจกจ่ายคีย์ล็อกเกอร์ โดยใช้เหยื่อล่อที่มีธีมงานในการโจมตีโดยกำหนดเป้าหมายไปที่ภาคการบินและอวกาศและการป้องกัน เป้าหมายของพวกเขาคือการปรับใช้เครื่องมือจารกรรมที่สามารถรวบรวมข้อมูลและดำเนินการเพย์โหลดรองได้
ประตูหลังนี้ซึ่งดูเหมือนว่าจะไม่มีเอกสารใด ๆ มาก่อน ช่วยให้ผู้โจมตีสามารถดำเนินการลาดตระเวนขั้นพื้นฐานและปรับใช้เพย์โหลดเพิ่มเติมสำหรับการเข้ายึดหรือควบคุมเครื่องจากระยะไกล
วิธีการที่แน่นอนในการเข้าถึงครั้งแรกสำหรับกิจกรรมใหม่นี้ยังไม่ชัดเจน แต่เป็นที่ทราบกันว่ากลุ่มนี้ใช้การโจมตีแบบฟิชชิ่งแบบหอกและวิศวกรรมสังคมเพื่อเริ่มต้นห่วงโซ่การติดไวรัส
TRANSLATEXT ปลอมตัวเป็น Google Translate เพื่อหลอกเหยื่อ
จุดเริ่มต้นของการโจมตีคือไฟล์ ZIP ที่อ้างว่าเกี่ยวข้องกับประวัติศาสตร์การทหารเกาหลีและประกอบด้วยสองไฟล์: เอกสารประมวลผลคำอังกูลและไฟล์ปฏิบัติการ
การเปิดตัวผลลัพธ์ปฏิบัติการในการดึงสคริปต์ PowerShell จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ซึ่งในทางกลับกันจะส่งออกข้อมูลเกี่ยวกับเหยื่อที่ถูกบุกรุกไปยังพื้นที่เก็บข้อมูล GitHub และดาวน์โหลดโค้ด PowerShell เพิ่มเติมโดยใช้ไฟล์ทางลัดของ Windows (LNK)
นักวิจัยตั้งข้อสังเกตว่าหลักฐานที่ค้นพบใน GitHub ชี้ให้เห็นว่า Kimsuky ตั้งใจที่จะลดความเสี่ยงและใช้มัลแวร์ในช่วงเวลาสั้น ๆ เพื่อกำหนดเป้าหมายเฉพาะบุคคล
TRANSLATEXT ซึ่งปลอมแปลงเป็น Google Translate ได้รวมโค้ด JavaScript เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยสำหรับบริการต่างๆ เช่น Google, Kakao และ Naver; สูบฉีดที่อยู่อีเมล ข้อมูลประจำตัว และคุกกี้ จับภาพหน้าจอเบราว์เซอร์และกรองข้อมูลที่ถูกขโมย
นอกจากนี้ยังออกแบบมาเพื่อดึงคำสั่งจาก URL Blogspot ของ Blogger เพื่อจับภาพหน้าจอของแท็บที่เพิ่งเปิดใหม่และลบคุกกี้ทั้งหมดออกจากเบราว์เซอร์ และอื่นๆ อีกมากมาย
