Bilgisayar korsanları, tarayıcıdaki yaygın uzantıları kullanarak birçok hedefe kötü amaçlı yazılım yerleştirebildikleri için Chrome uzantılarını kötüye kullanırlar.
Bu istenmeyen eklentiler kişisel verileri toplayabilir, açılır pencereler gösterebilir, URL’leri değiştirebilir ve yüklendikten sonra tarayıcıyı manipüle edebilir.
Zscaler ThreatLabz, siber casusluk ve finansal saldırılarıyla bilinen Kuzey Kore devlet destekli APT grubu Kimsuky’nin Mart 2024’te yeni bir faaliyetini tespit etti.
Ekip, “TRANSLATEXT” adlı yenilikçi bir Google Chrome eklentisi kullanarak e-posta adresleri, kimlik bilgileri ve tarayıcı ekran görüntüleri gibi hassas verileri çaldı.
“TRANSLATEXT” Chrome Uzantısı
Kimsuky’nin enfeksiyon zinciri, uzak sunuculardan PowerShell betiklerini alan aldatıcı belgeler ve kötü amaçlı yürütülebilir dosyalar içeren arşiv dosyalarının dağıtılmasından oluşuyordu.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Saldırganlar kurban verilerini ve Chrome uzantı dosyalarını GitHub hesabına kaydetti.
TRANSLATEXT’in gerçek dağıtım yöntemi hâlâ bilinmiyor; ancak Kimsuky’nin, Güney Koreli ve onlar tarafından hedef alınan uluslararası kuruluşlara yönelik değişen stratejilerinin bir parçası olarak, uzantıyı kullanıcı müdahalesi olmadan yüklemek için Windows kayıt defteri anahtarlarını kullandığına dair göstergeler var.
.webp)
Kuzey Koreli bir APT grubu olan Kimsuky, Mart 2024’te TRANSLATEXT adlı kötü amaçlı bir Chrome eklentisini bir GitHub hesabına yükledi.
Araştırmacılar, Google Translate kılığına bürünmüş bu uygulamanın, güvenliği aşarak hassas bilgileri çalmak ve tarayıcıların ekran görüntülerini almak gibi kötü amaçlı dört JavaScript dosyası içerdiğini söyledi.
Uzantı Güney Korelileri, özellikle Naver, Kakao ve Gmail giriş sayfalarını hedef aldı. Söz konusu uzantı, web sayfalarına komut dosyaları enjekte edebilmek ve içeriği değiştirebilmek için kapsamlı izinler talep etti.
Bu, Kimsuky’nin stratejilerini siber casusluğa nasıl uyarladığını gösteriyor; bu da yanıltıcı tarayıcı uzantılarına karşı dikkatli olmaya artan bir ihtiyaç olduğu anlamına geliyor.
.webp){kind=spacer}
Grup, bu karmaşık Chrome uzantısını, özellikle eğitim sektöründeki Güney Koreli kullanıcıları hedeflemek için kullandı.
Genel bloglardan komut almak için dead drop çözücü tekniğini kullanır ve kullanıcı bilgilerini toplamak için birden fazla dinleyici kullanır. Bu, C2 iletişimi için HTTP POST istekleri ve veri çalmak için b374k webshell aracılığıyla yapılır.
Şüphe uyandırmayan meşru hizmetlere yönlendirmek ve kötü amaçlı komut dosyalarını barındırmak için belirli Kore alan adlarından yararlanmak, Kimsuky’nin taktiklerinin bir parçasını oluşturuyor.
Bu kampanya, grubun özellikle Kore yarımadasında jeopolitikle ilgilenen araştırmacıları hedef alarak siber casusluk tekniklerini değiştirmeye devam ettiğini gösteriyor.
Grubun gözetim çabalarını desteklemek için Kore yarımadasının jeopolitiği konusunda uzmanlaşmış bir akademisyenin dahil olduğu bir Kimsuky saldırısı tespit edildi.
Kampanyada Güney Kore akademisyenlerinden istihbarat toplamak için kötü amaçlı Google Chrome eklentileri kullanılıyor.
Bunlar Kimsuky’nin şu anda kullandığı stratejileri gösteriyor ve Kuzey Kore ile ilgili tehditler konusunda güncel kalmanın neden önemli olduğunu gösteriyor.
Riskleri en aza indirmek için bilinmeyen sitelerden program indirirken dikkatli olmanızda fayda var.
IOC’ler
.webp)
Bizi takip ederek en son siber güvenlik gelişmelerinden haberdar olun LinkedIn Ve X Günlük güncellemeler için!