Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Kötü Amaçlı Google Uzantısı Kullanıcı Kimlik Bilgilerini ve Çerezleri Toplamak İçin JavaScript’leri Kullanıyor
Jayant Chakravarti (@JayJay_Tech) •
2 Temmuz 2024
Araştırmacılar, Kuzey Kore casusluk grubu Kimsuky’nin, Kuzey Kore meseleleri üzerine araştırma yapan Güney Koreli akademik kurumlardan hassas bilgileri sızdırmak için Mart ayından bu yana kötü amaçlı bir Google Chrome eklentisi kullandığını ileri sürdü.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görmeyi Bekliyoruz
Siber güvenlik şirketi Zscaler, tehdit grubunun TRANSLATEXT adını verdiği kötü amaçlı bir Google Chrome uzantısını meşru bir Google Translate uzantısı gibi gizlediğini ve Chrome tarayıcısının kullanıcı izni veya müdahalesi olmadan uzantıların kurulumunu zorunlu kılmasını sağlayan bir Windows kayıt defteri anahtarıyla kaydettiğini söyledi.
Kötü amaçlı eklenti yüklendikten sonra kullanıcı izinlerini ele geçiriyor ve güvenlik kontrollerini atlatmak için dört kötü amaçlı JavaScript dosyası dağıtıyor; ekran görüntüleri alıyor; e-posta adreslerini, kimlik bilgilerini ve çerezleri çalıyor ve çalınan verileri uzak bir sunucuya aktarıyor.
Kimsuky Grubu, Güney Kore hükümet kurumları, düşünce kuruluşları, akademik kurumlar ve özel sektör kuruluşlarından hayati önem taşıyan istihbaratları toplayan bir Kuzey Kore siber casusluk grubudur.
Grup, Mart ayında Seul merkezli güvenlik şirketi SGA Solutions tarafından sunulan ürün ve hizmetleri kullanan bireyleri ve kuruluşları hedef aldı ve bir web sayfasına, bir güvenlik programını indirme sitesine yönlendiren kötü amaçlı bir yükleme paketi yerleştirerek bilgisayarları bilgi hırsızı kötü amaçlı yazılımla enfekte etmeye çalıştı (bkz: Kimsuky Group, Güney Koreli Firmalara Yönelik Kötü Amaçlı Yazılım Saldırılarıyla Bağlantılı).
Zscaler, siber casusluk grubunun Güney Koreli hedeflere kimlik avı e-postaları gönderdiği ve dikkat çekmemek için ekli Windows çalıştırılabilir dosyalarını Kore askeri tarihi belgeleri gibi gizlediği devam eden kötü amaçlı bir kampanyayı araştırırken kötü amaçlı Google Chrome eklentisini tespit ettiğini söyledi.
Yapılan araştırma, araştırmacıları Kimsuky’nin kontrolündeki bir GitHub hesabına götürdü. Bu hesapta, “Piano” takma adını kullanan bir tehdit aktörünün 7 Mart’ta TRANSLATEXT uzantısını ve bir XML dosyasını yüklediği ve muhtemelen maruziyeti en aza indirmek için ertesi gün kaldırdığı ortaya çıktı.
Araştırmacılar, Kimsuky’nin kötü amaçlı uzantıyı, hedeflenen kullanıcıların ziyaret ettiği sitelere bağlı olarak web sayfalarına belirli komut dosyaları enjekte edecek şekilde tasarladığını söyledi. Hedeflenen siteler arasında Gmail, popüler Kore arama ve e-posta platformu Naver ve Güney Koreli internet holdingi Kakao’nun web sitesi yer aldı.
Bu komut dosyaları, tehdit aktörlerinin güvenlik önlemlerini aşmasını ve e-posta parolaları ve tarama geçmişi de dahil olmak üzere kullanıcılara ait hassas bilgileri çalmasını sağladı.
Araştırmacılar, kampanyada Kimsuky’nin önceki kampanyalarda kullandığı taktiklerden bazılarını yansıtan çeşitli taktikler ve araçlar buldu. Bunlar arasında çalınan bilgileri sızdırmak için b374k webshell’i kullanmak, şüpheleri azaltmak için kurbanları Gmail gibi meşru web alanlarına yönlendirmek ve kötü amaçlı PowerShell betiklerini barındırmak için “viaweb” adlı bir Koreli İSS tarafından kaydedilen alan adlarını yeniden kullanmak vardı.
ABD’li kötü amaçlı yazılım araştırma şirketi Volexity, Temmuz 2022’de SharpTongue olarak izlediği bir Kuzey Koreli tehdit grubunun, “Kuzey Kore, nükleer sorunlar, silah sistemleri ve Kuzey Kore için stratejik öneme sahip diğer konuları” araştıran ABD, Avrupa ve Güney Kore’deki kişileri hedef almak için kötü amaçlı Google Chrome uzantıları kullandığını söyledi.
Şirket, SharpTongue’un saldırı araçları ve tekniklerinin Kimsuky Group’unkilerle örtüştüğünü, ancak grubun kullanıcı adı ve şifreleri çalmaya çalışmadığını, bunun yerine kurbanların Gmail ve AOL web posta hesaplarından doğrudan veri sızdırdığını belirtti.