Kuzey Kore bağlantılı tehdit aktörü Kimsuky’nin, devam eden bir istihbarat toplama çalışmasının parçası olarak hassas bilgileri çalmak için tasarlanmış yeni bir kötü amaçlı Google Chrome eklentisini kullandığı ortaya çıktı.
Mart 2024 başlarında faaliyeti gözlemleyen Zscaler ThreatLabz, uzantıya TRANSLATEXT kod adını verdi ve bu, e-posta adreslerini, kullanıcı adlarını, parolaları, çerezleri ve tarayıcı ekran görüntülerini toplama yeteneğini vurguladı.
Hedefli kampanyanın Güney Kore akademisyenlerine, özellikle de Kuzey Kore siyasetine odaklananlara yönelik olduğu söyleniyor.
Kimsuky, en az 2012’den beri aktif olduğu bilinen, Güney Koreli varlıkları hedef alan siber casusluk ve mali amaçlı saldırılar düzenleyen, Kuzey Kore’den gelen kötü şöhretli bir bilgisayar korsanlığı ekibidir.
Lazarus kümesinin kardeş grubu ve Keşif Genel Bürosu’nun (RGB) bir parçası olan bu grup, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima adlarıyla da takip ediliyor.
Son haftalarda grup, bir keylogger dağıtmak için Microsoft Office’teki bilinen bir güvenlik kusurunu (CVE-2017-11882) silah haline getirdi ve bir casusluk aracını düşürmek amacıyla havacılık ve savunma sektörlerini hedef alan saldırılarda iş temalı tuzaklar kullandı. veri toplama ve ikincil yük yürütme işlevleri.
“Daha önce kamuoyuna açıklanmamış gibi görünen arka kapı, saldırganın temel keşifler yapmasına ve makineyi ele geçirmek veya uzaktan kontrol etmek için ek yükler bırakmasına olanak tanıyor,” dedi siber güvenlik şirketi CyberArmor. Kampanyaya Niki adını verdi.
Grubun enfeksiyon zincirini etkinleştirmek için hedef odaklı kimlik avı ve sosyal mühendislik saldırılarından yararlandığı bilinmesine rağmen, yeni keşfedilen etkinlikle ilişkili ilk erişimin kesin modu şu anda belirsiz.
Saldırının başlangıç noktası, Kore askeri tarihiyle ilgili olduğu iddia edilen ve iki dosya içeren bir ZIP arşivi: Hangul Kelime İşlemci belgesi ve yürütülebilir dosya.
Yürütülebilir dosyanın başlatılması, saldırganın kontrolündeki bir sunucudan bir PowerShell betiğinin alınmasıyla sonuçlanır; bu da, saldırıya uğramış kurban hakkındaki bilgileri bir GitHub deposuna aktarır ve bir Windows kısayol (LNK) dosyası aracılığıyla ek PowerShell kodunu indirir.
Zscaler, 13 Şubat 2024’te oluşturulan ve TRANSLATEXT uzantısını “GoogleTranslate.crx” adı altında kısaca barındıran GitHub hesabını bulduğunu, ancak dağıtım yönteminin şu anda bilinmediğini söyledi.
Güvenlik araştırmacısı Seongsu Park, “Bu dosyalar 7 Mart 2024’te depoda mevcuttu ve ertesi gün silindi; bu da Kimsuky’nin maruz kalmayı en aza indirmeyi ve kötü amaçlı yazılımı belirli kişileri hedeflemek için kısa bir süreliğine kullanmayı amaçladığını ima ediyor” dedi.
Google Çeviri kılığına giren TRANSLATEXT, Google, Kakao ve Naver gibi hizmetlere yönelik güvenlik önlemlerini atlamak için JavaScript kodu içerir; e-posta adreslerini, kimlik bilgilerini ve çerezleri sifonlayın; tarayıcı ekran görüntülerini yakalayın; ve çalınan verileri sızdırın.
Ayrıca, yeni açılan sekmelerin ekran görüntülerini almak ve diğerlerinin yanı sıra tarayıcıdaki tüm çerezleri silmek için Blogger Blogspot URL’sinden komutlar getirecek şekilde tasarlanmıştır.
Park, “Kimsuky grubunun temel amaçlarından biri, değerli istihbarat toplamak amacıyla akademik ve hükümet personelini gözetlemektir” dedi.