朝鲜APT组织 Kimsuky 使用 TRANSLATEXT Chrome 扩展程序窃取敏感数据

与朝鲜有关的APT组织 Kimsuky 涉嫌使用新的恶意 Google Chrome 扩展程序，该扩展程序旨在窃取敏感信息，作为正在进行的情报收集工作的一部分。

Zscaler ThreatLabz于 2024 年 3 月初观察到了该活动，并将该扩展程序命名为 TRANSLATEXT，突出显示其收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图的能力。

据称，此次攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。

Kimsuky 是朝鲜一个臭名昭著的黑客组织，据了解，该组织至少自 2012 年以来一直活跃，策划针对韩国实体的网络间谍活动和出于经济动机的攻击。

Kimsuky 是 Lazarus 集群的组织之一，也是侦察总局 (RGB) 的一部分，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。

最近几周，该组织利用Microsoft Office 中已知的安全漏洞 (CVE-2017-11882) 来分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵，目的是投放具有数据收集和二次有效载荷执行功能的间谍工具。

网络安全公司 CyberArmor表示：“这个后门似乎之前没有公开记录过，它允许攻击者执行基本的侦察并投放额外的有效载荷来接管或远程控制机器。”该公司将这次活动命名为 Niki。

虽然已知该组织利用鱼叉式网络钓鱼和社会工程攻击来激活感染链，但目前尚不清楚与新发现的活动相关的初始访问的具体模式。

攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。

感染链示例

启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。

Zscaler 表示，它发现了一个于 2024 年 2 月 13 日创建的GitHub 帐户，该帐户短暂地以“GoogleTranslate.crx”的名义托管了 TRANSLATEXT 扩展程序，尽管目前尚不清楚其交付方式。

安全研究员 Seongsu Park 表示：“这些文件于 2024 年 3 月 7 日出现在GitHub存储库中，并于第二天删除，这意味着 Kimsuky 打算尽量减少暴露，并在短时间内使用该恶意软件来针对特定个人。”

TRANSLATEXT 伪装成 Google 翻译，它整合了 JavaScript 代码以绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图；并窃取被盗数据。

它还可以从 Blogger Blogspot URL 获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。

Kimsuky TRANSLATEXT架构

Park 说：“Kimsuky 集团的主要目标之一是监视学术人员和政府人员，以收集有价值的情报。”

详细技术报告：https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia

新闻链接：
https://thehackernews.com/2024/06/kimsuky-using-translatext-chrome.html