TRANSLATEXT Kötü Amaçlı Yazılım
Kuzey Koreli tehdit grubu Kimsuky, istihbarat toplamak için hassas bilgileri toplamayı amaçlayan yeni bir tehdit edici Google Chrome uzantısıyla ilişkilendirildi. Mart 2024'te araştırmacılar tarafından keşfedilen TRANSLATEXT adlı uzantı, e-posta adreslerini, kullanıcı adlarını, şifreleri, çerezleri ve tarayıcı ekran görüntülerini toplayabiliyor.
Bu kampanya Güney Kore akademik kurumlarını, özellikle de Kuzey Kore siyasi meselelerini araştıranları hedef aldı.
İçindekiler
Kimsuky Önde Gelen Bir Siber Suç Grubudur
Kuzey Kore'den tanınmış bir bilgisayar korsanlığı grubu olan ve en az 2012'den beri faaliyet gösteren Kimsuky, Güney Kore hedeflerine karşı siber casusluk ve mali amaçlı saldırılar gerçekleştiriyor. Lazarus kümesiyle ilişkili ve Genel Keşif Bürosunun (RGB) bir parçası olan Kimsuky, aynı zamanda APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima gibi isimlerle de anılıyor. Birincil görevleri, değerli istihbarat toplamak için akademik ve hükümet personelini gözetlemektir.
Kimsuky Tarafından Sıklıkla İstismar Edilen Hedefli Kimlik Avı Taktikleri
Grup, havacılık ve savunma sektörlerini hedef alan saldırılarda iş temalı tuzaklar kullanarak bir keylogger dağıtmak için bilinen bir Microsoft Office güvenlik açığından (CVE-2017-11882) yararlandı. Amaçları, veri toplama ve ikincil yük yürütme kapasitesine sahip bir casusluk aracı dağıtmaktır.
Daha önce belgelenmemiş gibi görünen bu arka kapı, saldırganların temel keşif yapmasına ve makineyi ele geçirmek veya uzaktan kontrol etmek için ek yükler yerleştirmesine olanak tanıyor.
Bu yeni etkinliğe ilk erişimin kesin yöntemi belirsizliğini koruyor ancak grubun enfeksiyon zincirini başlatmak için hedef odaklı kimlik avı ve sosyal mühendislik saldırıları kullandığı biliniyor.
TRANSLATEXT Kurbanları Kandırmak İçin Google Çeviri Gibi Davranıyor
Saldırının başlangıç noktası, Kore askeri tarihiyle ilgili olduğu iddia edilen ve iki dosya içeren bir ZIP arşivi: Hangul Kelime İşlemci belgesi ve yürütülebilir dosya.
Yürütülebilir dosyaların başlatılması, saldırgan tarafından kontrol edilen bir sunucudan bir PowerShell betiğinin alınmasıyla sonuçlanır; bu da, ele geçirilen kurban hakkındaki bilgileri bir GitHub deposuna aktarır ve bir Windows kısayol (LNK) dosyası aracılığıyla ek PowerShell kodunu indirir.
Araştırmacılar, GitHub'da keşfedilen kanıtların, Kimsuky'nin maruz kalmayı en aza indirmeyi ve kötü amaçlı yazılımı belirli kişileri hedeflemek için kısa bir süre kullanmayı amaçladığını öne sürdüğünü belirtiyor.
Google Çeviri kılığına giren TRANSLATEXT, Google, Kakao ve Naver gibi hizmetlerin güvenlik önlemlerini atlamak için JavaScript kodunu içerir; e-posta adreslerini, kimlik bilgilerini ve çerezleri sifonlayın; tarayıcı ekran görüntülerini yakalayın ve çalınan verileri sızdırın.
Ayrıca, yeni açılan sekmelerin ekran görüntülerini almak ve diğerlerinin yanı sıra tarayıcıdaki tüm çerezleri silmek için bir Blogger Blogspot URL'sinden komutlar almak üzere tasarlanmıştır.
