В марте 2024 года исследователи из Zscaler ThreatLabz сообщили о новой активности группы Kimsuky, также известной как APT43, Emerald Sleet и Velvet Chollima, которая является российской хакерской группой, действующей под эгидой правительства Северной Кореи. Группа известна своей активностью в сфере кибершпионажа и финансово мотивированных кибератак, основными целями которых являются южнокорейские организации, включая правительственные учреждения, академический сектор и аналитические центры.
Их целевые кампании включают использование вредоносных расширений для Google Chrome, а их последним изобретением является расширение под названием "TRANSLATEXT", которое используется для кибершпионажа и кражи информации, такой как адреса электронной почты, имена пользователей, пароли, файлы cookie и скриншоты браузера.
Специалисты обнаружили, что Kimsuky загрузили расширение TRANSLATEXT в репозиторий GitHub, которым они управляли, и оно позволяет обойти меры безопасности таких поставщиков услуг электронной почты, как Gmail, Kakao и Naver, чтобы получить доступ к информации пользователей. Группа сконцентрировалась на южнокорейских ученых, особенно на тех, кто занимается политическими исследованиями, связанными с Северной Кореей. Наиболее интересным аспектом их действий было использование архивного файла, который был маскирован под обзор монографии по военной истории Кореи. Когда пользователь запускал этот файл, вредоносная программа извлекала сценарий PowerShell с сервера злоумышленника, который запускал дополнительные сценарии PowerShell и загружал вредоносное расширение TRANSLATEXT.
Анализ поведения аккаунта GitHub, который контролировали злоумышленники, показал, что они загрузили расширение TRANSLATEXT и XML-файл, связанный с ним, в репозиторий 7 марта 2024 года, а затем удалили их на следующий день. Это указывает на то, что группа планировала использовать расширение в краткосрочных целевых атаках. В последующих коммитах в аккаунте были обнаружены другие файлы, связанные с этим расширением. Особенно интересным является то, что группа использовала ключ реестра Windows, чтобы проверить наличие установленных расширений Chrome и принудительно установить TRANSLATEXT, чтобы минимизировать вмешательство пользователя.
Indicators of Compromise
URLs
- http://ney.r-e.kr/mar/tys.php
- http://ney.r-e.kr/mar/tys.txt
- http://sdfa.liveblog365.com/ares/babyhades.txt
- http://sdfa.liveblog365.com/ares/hades.txt
- https://github.com/cmastern
- https://onewithshare.blogspot.com/2023/04/10.html
- https://raw.githubusercontent.com/HelperDav/Web/main/update.xml
- https://webman.w3school.cloudns.nz
MD5
- 38e27983c757374d9bae36a2e2520e8e
- bba3b15bad6b5a80ab9fa9a49b643658
