TRANSLATEXT Malware
Ang North Korean threat group na Kimsuky ay nauugnay sa isang bagong nagbabantang extension ng Google Chrome na naglalayong kumuha ng sensitibong impormasyon para sa pangangalap ng intelligence. Natuklasan ng mga mananaliksik noong Marso 2024, ang extension, na tinatawag na TRANSLATEXT, ay may kakayahang mangolekta ng mga email address, username, password, cookies at mga screenshot ng browser.
Ang kampanyang ito ay naka-target sa mga institusyong pang-akademiko sa South Korea, partikular sa mga nagsasaliksik sa mga isyung pampulitika ng Hilagang Korea.
Talaan ng mga Nilalaman
Si Kimsuky ay isang Prominent Cybercrime Group
Si Kimsuky, isang kilalang grupo sa pag-hack mula sa North Korea na aktibo mula noong 2012 man lang, ay nakikisali sa cyber espionage at mga pag-atakeng may kinalaman sa pananalapi laban sa mga target sa South Korea. Nauugnay sa cluster ng Lazarus at bahagi ng Reconnaissance General Bureau (RGB), kinilala rin ang Kimsuky sa mga pangalan gaya ng APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail, at Velvet Chollima. Ang kanilang pangunahing misyon ay subaybayan ang mga tauhan ng akademiko at pamahalaan upang mangolekta ng mahalagang katalinuhan.
Mga Taktika sa Spear-phishing na Madalas Pinagsasamantalahan ni Kimsuky
Sinamantala ng grupo ang isang kilalang kahinaan ng Microsoft Office (CVE-2017-11882) upang ipamahagi ang isang keylogger, gamit ang mga pang-akit na may temang trabaho sa mga pag-atake na nagta-target sa mga sektor ng aerospace at depensa. Ang kanilang layunin ay mag-deploy ng isang espionage tool na may kakayahang pangongolekta ng data at pangalawang payload execution.
Ang backdoor na ito, na tila dati ay hindi dokumentado, ay nagbibigay-daan sa mga umaatake na magsagawa ng pangunahing pag-reconnaissance at mag-deploy ng mga karagdagang payload para sa pagkuha o malayuang pagkontrol sa makina.
Ang eksaktong paraan ng paunang pag-access para sa bagong aktibidad na ito ay nananatiling hindi malinaw, ngunit ang grupo ay kilala na gumagamit ng mga pag-atake ng spear-phishing at social engineering upang simulan ang chain ng impeksyon.
TRANSLATEXT Nagpopose bilang Google Translate sa Trick Victims
Ang panimulang punto ng pag-atake ay isang ZIP archive na naglalayong tungkol sa kasaysayan ng militar ng Korea at naglalaman ng dalawang file: Isang Hangul Word Processor na dokumento at isang executable.
Ang paglulunsad ng mga executable na resulta sa pagkuha ng PowerShell script mula sa isang server na kinokontrol ng attacker, na, naman, ay nag-e-export ng impormasyon tungkol sa nakompromisong biktima sa isang GitHub repository at nagda-download ng karagdagang PowerShell code sa pamamagitan ng Windows shortcut (LNK) file.
Napansin ng mga mananaliksik na ang natuklasang ebidensya sa GitHub ay nagmumungkahi na nilayon ni Kimsuky na bawasan ang pagkakalantad at gamitin ang malware sa maikling panahon upang mag-target ng mga partikular na indibidwal.
Ang TRANSLATEXT, na nagpapanggap bilang Google Translate, ay nagsasama ng JavaScript code upang i-bypass ang mga hakbang sa seguridad para sa mga serbisyo tulad ng Google, Kakao, at Naver; siphon email address, kredensyal, at cookies; kumuha ng mga screenshot ng browser at i-exfiltrate ang ninakaw na data.
Dinisenyo din ito upang kumuha ng mga utos mula sa isang URL ng Blogger Blogspot upang kumuha ng mga screenshot ng mga bagong bukas na tab at tanggalin ang lahat ng cookies mula sa browser, bukod sa iba pa.
