Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据

admin 2024年11月6日14:05:43评论7 views字数 1375阅读4分35秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据

在网络安全领域,威胁者的手法层出不穷。近期,一组与朝鲜有关的黑客组织Kimsuky被发现使用一种名为TRANSLATEXT的新型恶意Chrome扩展程序,专门用于窃取敏感信息。这一攻击活动的目的主要集中在韩国的学术界,尤其是那些关注朝鲜政治事务的研究人员。

恶意扩展的真相

Zscaler ThreatLabz的安全研究人员在2024年3月初首次观察到了这种活动。TRANSLATEXT扩展程序能够收集电子邮件地址、用户名、密码、浏览器的Cookie和截图等重要信息。其名称暗示了它伪装成一款普通的翻译工具,从而欺骗用户下载和安装。

Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据

Kimsuky背后的故事

Kimsuky自2012年以来活跃在网络攻击的舞台上,专注于针对韩国实体的网络间谍活动和财务动机攻击。这个黑客组织是“拉撒路”集团的姐妹组织,与朝鲜的情报机构——侦察总局(RGB)紧密相连。他们也以APT43、ARCHIPELAGO等多种代号被追踪。

在最近的攻击中,Kimsuky利用一个已知的微软Office漏洞(CVE-2017-11882)传播键盘记录器,并针对航天和国防行业实施钓鱼攻击,意图植入间谍工具以收集情报。

攻击链的揭秘

TRANSLATEXT扩展程序的具体入侵方式尚不明确,但Kimsuky以社交工程和钓鱼邮件为主要手段来激活攻击链。攻击者会发送一个关于韩国军事历史的ZIP档案,内含一个汉字处理文档和一个可执行文件。执行该文件后,会从攻击者控制的服务器下载一个PowerShell脚本,导出受害者的信息到一个GitHub仓库。

Zscaler的研究显示,该GitHub账户在2024年2月13日创建,短暂托管了TRANSLATEXT扩展程序,但其分发方式仍然未知。可见,Kimsuky在执行攻击时非常小心,尽量减少暴露的风险。

TRANSLATEXT的功能

TRANSLATEXT的代码经过精心设计,可以绕过Google、Kakao和Naver等服务的安全措施。它不仅能够提取用户的电子邮件、凭证和Cookie,还能捕获浏览器截图并将这些数据外泄。此外,该扩展还可以从一个Blogger Blogspot URL获取命令,以截取新打开标签页的屏幕和删除浏览器中的所有Cookie。

对学术界的监视

Kimsuky的主要目标是对学术和政府人员进行监视,以收集有价值的情报。安全专家Seongsu Park表示,这种针对性的攻击策略不仅危害了个体用户的安全,也对国家安全构成了潜在威胁。

结语

网络安全的威胁无处不在,了解这些攻击手法是保护自己的第一步。请保持警惕,定期更新软件,切勿随意下载不明来源的扩展程序,以免成为黑客的下一个目标。

推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。

Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据

欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日14:05:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Kimsuky:利用TRANSLATEXT Chrome扩展程序窃取敏感数据http://cn-sec.com/archives/3363442.html

发表评论

匿名网友 填写信息