Οι Βορειοκορεάτες hackers Kimsuky έχουν συνδεθεί με τη χρήση μιας νέας κακόβουλης επέκτασης του Google Chrome (κωδική ονομασία TRANSLATEXT), που έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες.
Η Zscaler ThreatLabz εντόπισε την κακόβουλη δραστηριότητα στις αρχές Μαρτίου 2024 και παρατήρησε ότι η επέκταση συλλέγει διευθύνσεις email, ονόματα χρήστη, κωδικούς πρόσβασης, cookies, ενώ τραβά και screenshots.
Με τις νέες επιθέσεις, οι hackers Kimsuky στρέφονται κατά της νοτιοκορεατικής ακαδημαϊκής κοινότητας, και ειδικά κατά ειδικών που επικεντρώνονται στις πολιτικές υποθέσεις της Βόρειας Κορέας.
Δείτε επίσης: Οι hackers Kimsuky στοχεύουν χρήστες μέσω Facebook Messenger
Η Kimsuky είναι μια γνωστή hacking ομάδα από τη Βόρεια Κορέα που δραστηριοποιείται τουλάχιστον από το 2012. Έχει συνδεθεί με πολλές εκστρατείες κυβερνοκατασκοπείας με στόχο νοτιοκορεατικές οντότητες.
Τις τελευταίες εβδομάδες, η ομάδα αξιοποιεί μια ευπάθεια στο Microsoft Office (CVE-2017-11882) για τη διανομή ενός keylogger. Επίσης, έχουν χρησιμοποιήσει δολώματα που σχετίζονται με υποτιθέμενες θέσεις εργασίας για να στοχεύσουν τομείς της αεροδιαστημικής και της άμυνας και να κλέψουν πληροφορίες.
Η εταιρεία κυβερνοασφάλειας CyberArmor παρατήρησε τη χρήση ενός νέου backdoor, που επιτρέπει στους Βορειοκορεάτες hackers Kimsuky να κάνουν ένα βασικό reconnaissance και να εγκαταστήσουν πρόσθετα payloads για να αναλάβουν ή να ελέγξουν εξ αποστάσεως το μηχάνημα.
Ο ακριβής τρόπος αρχικής πρόσβασης δεν είναι γνωστός, αν και η ομάδα πραγματοποιεί συνήθως spear-phishing και social engineering επιθέσεις για να ενεργοποιήσει την αλυσίδα μόλυνσης.
Δείτε επίσης: Η ομάδα Kimsuky αναπτύσσει το νέο Linux backdoor Gomir
Το σημείο εκκίνησης της επίθεσης είναι ένα αρχείο ZIP που υποτίθεται ότι αφορά την κορεατική στρατιωτική ιστορία και περιέχει δύο αρχεία: Ένα έγγραφο επεξεργασίας κειμένου Hangul και ένα εκτελέσιμο αρχείο.
Η εκκίνηση του εκτελέσιμου αρχείου οδηγεί στην ανάκτηση ενός PowerShell script από έναν διακομιστή του εισβολέα, ο οποίος, με τη σειρά του, εξάγει πληροφορίες σχετικά με το παραβιασμένο θύμα (σε ένα GitHub repository) και πραγματοποιεί λήψη πρόσθετου κώδικα PowerShell μέσω ενός αρχείου συντόμευσης των Windows (LNK).
Η Zscaler είπε ότι βρήκε τον λογαριασμό GitHub και είδε ότι φιλοξενούσε για λίγο την επέκταση TRANSLATEXT με το όνομα “GoogleTranslate.crx”.
“Αυτά τα αρχεία ήταν παρόντα στο repository στις 7 Μαρτίου 2024 και διαγράφηκαν την επόμενη μέρα, υπονοώντας ότι οι hackers Kimsuky σκόπευαν να ελαχιστοποιήσουν την έκθεση και να χρησιμοποιήσουν το κακόβουλο λογισμικό για σύντομο χρονικό διάστημα για να στοχεύσουν συγκεκριμένα άτομα“, δήλωσε ο ερευνητής ασφαλείας Seongsu Park.
Η κακόβουλη επέκταση του Chrome, TRANSLATEXT, που μεταμφιέζεται ως Google Translate, ενσωματώνει κώδικα JavaScript για να παρακάμψει τα μέτρα ασφαλείας για υπηρεσίες όπως το Google, το Kakao και το Naver. Κλέβει διευθύνσεις email, διαπιστευτήρια και cookies, ενώ τραβά και screenshots.
“Ένας από τους πρωταρχικούς στόχους της ομάδας Kimsuky είναι η παρακολούθηση του ακαδημαϊκού και του κυβερνητικού προσωπικού προκειμένου να συγκεντρώσει πολύτιμες πληροφορίες“, είπε ο Park.
Δείτε επίσης: Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware
Αυτή η πρόσφατη εξέλιξη χρησιμεύει ως υπενθύμιση της συνεχώς εξελισσόμενης φύσης των απειλών στον κυβερνοχώρο, ειδικά από κρατικούς φορείς όπως οι Βορειοκορεάτες hackers Kimsuky. Αυτοί οι παράγοντες απειλών προσαρμόζουν συνεχώς τις τεχνικές τους για να παραμείνουν απαρατήρητοι και να συλλέγουν ευαίσθητες πληροφορίες για πολιτικό ή οικονομικό όφελος.
Για την προστασία από αυτούς τους τύπους απειλών, χρήστες και οργανισμοί πρέπει να ενημερώνονται για τις τρέχουσες απειλές και να λαμβάνουν μέτρα προστασίας, συμπεριλαμβανομένης της ενημέρωσης των λογισμικών. Επιπλέον, η προσοχή κατά τη λήψη επεκτάσεων από άγνωστες πηγές μπορεί να βοηθήσει στην αποφυγή επιθέσεων.
Είναι επίσης σημαντικό για τις κυβερνήσεις και τους οργανισμούς να συνεργάζονται για την ανταλλαγή πληροφοριών σχετικά με τις απειλές και την εφαρμογή ισχυρών πρωτοκόλλων ασφαλείας.
Πηγή: thehackernews.com
,){kind=link}