TRANSLATEXT Шкідливе програмне забезпечення
Північнокорейська група загроз Kimsuky була пов’язана з новим загрозливим розширенням Google Chrome, спрямованим на збір конфіденційної інформації для збору розвідданих. Виявлене дослідниками в березні 2024 року розширення під назвою TRANSLATEXT здатне збирати адреси електронної пошти, імена користувачів, паролі, файли cookie та знімки екрана браузера.
Ця кампанія була націлена на академічні установи Південної Кореї, особливо ті, які досліджують політичні питання Північної Кореї.
Зміст
Kimsuky — відома кіберзлочинна група
Kimsuky, відома хакерська група з Північної Кореї, яка діє принаймні з 2012 року, бере участь у кібершпигунстві та фінансово вмотивованих атаках на цілі Південної Кореї. Пов’язаний із скупченням Лазаря та частиною Головного розвідувального бюро (RGB), Кімсукі також ідентифікується за такими назвами, як APT43, АРХІПЕЛАГ, Чорний Банші, Смарагдовий Сліт, Веснохвіст і Оксамитова Чолліма. Їхнє головне завдання — стежити за академічним і державним персоналом для збору цінних розвідданих.
Тактика фішингу, якою часто користується Кімсукі
Група використала відому вразливість Microsoft Office (CVE-2017-11882), щоб розповсюдити кейлоггер, використовуючи приманки на тему роботи в атаках, націлених на аерокосмічний і оборонний сектори. Їх мета полягає в тому, щоб розгорнути інструмент шпигунства, здатний збирати дані та виконувати вторинне корисне навантаження.
Цей бекдор, який, здається, раніше не був задокументований, дозволяє зловмисникам проводити базову розвідку та розгортати додаткові корисні навантаження для захоплення або дистанційного керування машиною.
Точний метод початкового доступу до цієї нової діяльності залишається незрозумілим, але відомо, що група використовує фішинг і атаки соціальної інженерії, щоб ініціювати ланцюг зараження.
TRANSLATEXT виглядає як Google Translate, щоб обдурити жертв
Відправною точкою атаки є ZIP-архів, який нібито стосується військової історії Кореї та містить два файли: документ текстового процесора Hangul та виконуваний файл.
Запуск виконуваного файлу призводить до отримання сценарію PowerShell із сервера, контрольованого зловмисником, який, у свою чергу, експортує інформацію про скомпрометовану жертву в репозиторій GitHub і завантажує додатковий код PowerShell за допомогою файлу ярлика Windows (LNK).
Дослідники відзначають, що виявлені на GitHub докази свідчать про те, що Кімсукі мав намір мінімізувати вплив і використовувати зловмисне програмне забезпечення протягом короткого періоду для націлювання на конкретних осіб.
TRANSLATEXT, який маскується під Google Translate, містить код JavaScript для обходу заходів безпеки для таких служб, як Google, Kakao і Naver; перекачувати адреси електронної пошти, облікові дані та файли cookie; робити знімки екрана браузера та вилучати викрадені дані.
Він також призначений для отримання команд із URL-адреси Blogger Blogspot, щоб робити знімки екрана щойно відкритих вкладок і видаляти всі файли cookie з веб-переглядача, серед іншого.
