Kimsuky olarak bilinen Kuzey Kore bağlantılı tehdit aktörünün, devam eden istihbarat toplama çabasının bir parçası olarak hassas bilgileri çalmak üzere tasarlanmış yeni bir kötü amaçlı Google Chrome uzantısının kullanımıyla bağlantısı olduğu ortaya çıktı.
Zscaler ThreatLabz, gözlemlenen Mart 2024’ün başındaki etkinlik, TRANSLATEXT uzantısına kod adını verdi ve bu uzantının e-posta adreslerini, kullanıcı adlarını, şifreleri, çerezleri ve tarayıcı ekran görüntülerini toplama yeteneğini vurguladı.
Hedefli kampanyanın Güney Kore akademisyenlerine, özellikle de Kuzey Kore siyasetine odaklananlara yönelik olduğu söyleniyor.
Kimsuky, en az 2012’den beri aktif olduğu bilinen, Güney Koreli varlıkları hedef alan siber casusluk ve mali amaçlı saldırılar düzenleyen, Kuzey Kore’den gelen kötü şöhretli bir bilgisayar korsanlığı ekibidir.
Lazarus kümesinin kardeş grubu ve Genel Keşif Bürosunun (RGB) bir parçası olan bu grup aynı zamanda APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima isimleri altında da takip edilmektedir.
Son haftalarda grup, silah haline getirilmiş Microsoft Office’te (CVE-2017-11882) bir keylogger dağıtmak için bilinen bir güvenlik kusuru vardır ve iş temalı yemler veri toplama ve ikincil yük yürütme işlevlerine sahip bir casusluk aracını düşürmek amacıyla havacılık ve savunma sektörlerini hedef alan saldırılarda.
Siber güvenlik şirketi CyberArmor, “Daha önce kamuoyuna açıklanmamış gibi görünen arka kapı, saldırganın temel keşifler yapmasına ve makineyi ele geçirmek veya uzaktan kontrol etmek için ek yükler bırakmasına olanak tanıyor” dedi. söz konusu. Kampanyaya Niki adını verdi.
Grubun enfeksiyon zincirini etkinleştirmek için hedef odaklı kimlik avı ve sosyal mühendislik saldırılarından yararlandığı bilinmesine rağmen, yeni keşfedilen etkinlikle ilişkili ilk erişimin kesin modu şu anda belirsiz.
Saldırının başlangıç noktası, Kore askeri tarihiyle ilgili olduğu iddia edilen ve iki dosya içeren bir ZIP arşivi: Hangul Kelime İşlemci belgesi ve yürütülebilir dosya.
Yürütülebilir dosyanın başlatılması, saldırganın kontrolündeki bir sunucudan bir PowerShell betiğinin alınmasıyla sonuçlanır; bu da, saldırıya uğramış kurban hakkındaki bilgileri bir GitHub deposuna aktarır ve bir Windows kısayol (LNK) dosyası aracılığıyla ek PowerShell kodunu indirir.
Zscaler bulduğunu söyledi GitHub hesabı13 Şubat 2024’te oluşturulan ve dağıtım yöntemi şu anda bilinmese de TRANSLATEXT uzantısını “GoogleTranslate.crx” adı altında kısaca barındırıyor.
Güvenlik araştırmacısı Seongsu Park, “Bu dosyalar 7 Mart 2024’te depoda mevcuttu ve ertesi gün silindi. Bu da Kimsuky’nin maruziyeti en aza indirmeyi ve kötü amaçlı yazılımı belirli kişileri hedef almak için kısa bir süre kullanmayı amaçladığını gösteriyor.” dedi.
Google Translate gibi görünen TRANSLATEXT, Google, Kakao ve Naver gibi servislerin güvenlik önlemlerini aşmak için JavaScript kodu kullanıyor; e-posta adreslerini, kimlik bilgilerini ve çerezleri sömürüyor; tarayıcı ekran görüntülerini yakalıyor ve çalınan verileri dışarı sızdırıyor.
Ayrıca, yeni açılan sekmelerin ekran görüntüsünü almak ve tarayıcıdaki tüm çerezleri silmek gibi amaçlarla Blogger Blogspot URL’sinden komutlar almak üzere tasarlanmıştır.
Park, “Kimsuky grubunun temel amaçlarından biri, değerli istihbarat toplamak amacıyla akademik ve hükümet personelini gözetlemektir” dedi.