![警惕!黑客团伙利用新恶意Chrome扩展窃取敏感信息]( "警惕!黑客团伙利用新恶意Chrome扩展窃取敏感信息")
▌Kimsuky 团伙新动向:恶意 Chrome 扩展窃取敏感信息
近日,与朝鲜有关的攻击者——Kimsuky团伙,被曝利用一种新的恶意Google Chrome扩展程序,作为其持续情报收集行动的一部分,旨在窃取敏感信息。
2024年3月初,Kimsuky团伙被观测到这一恶意活动,其扩展程序命名为 TRANSLATEXT 。经过深入分析,塞讯安全实验室研究人员发现该扩展程序能够收集电子邮件地址、用户名、密码、 Cookie 以及浏览器截图,其功能设计极具针对性。
Kimsuky 是一个来自朝鲜的臭名昭著的黑客团伙,自2012年以来一直在网络世界中活跃。他们精心策划并执行了多起网络间谍活动和出于经济动机的攻击,其手段狡猾且多变。
▌Kimsuky 新战术:伪装盗取信息
作为 Lazarus 组织的姐妹团伙和侦察总局(RGB)的一部分,Kimsuky 还被追踪为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima 等多个名称。这些名称背后,都隐藏着他们不断变换身份、持续进行恶意活动的真相。
近几周来,该团伙还利用 Microsoft Office 中的一个已知安全漏洞(CVE-2017-11882)来传播键盘记录器,并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵。
他们的目标非常明确,就是要投放具有数据收集和二次有效载荷执行功能的间谍工具,以便更有效地窃取机密信息。
针对其近期使用的后门程序的分析,该程序能让攻击者进行基础侦察并投放额外有效载荷,从而接管或远程控制受害者的机器。此活动被命名为“Niki”,并提醒所有用户加强警惕。
虽然目前尚不清楚这种新发现的活动具体是如何实现初始访问的,但已知 Kimsuky 团伙会利用鱼叉式网络钓鱼和社会工程学攻击来激活感染链,其手段不断升级,令人难以防范。
此次攻击的起点是一个声称关于韩国军事历史的 ZIP 压缩包,其中包含两个文件:一个韩文处理器文档和一个可执行文件。一旦用户不慎点击执行,就会从攻击者控制的服务器上检索 PowerShell 脚本,进而被窃取信息。
2024年3月7日,一批文件出现在一个 GitHub 账户上,该账户于2月13日创建,曾短暂托管名为“GoogleTranslate.crx”的 TRANSLATEXT 扩展程序,并于次日删除。这表明Kimsuky团伙意图最小化暴露时间,并在短时间内利用此恶意软件针对特定个人。
TRANSLATEXT 伪装成 Google Translate,内含 JavaScript 代码,能绕过 Google、Kakao 和 Naver 等服务的安全措施,窃取电子邮件地址、凭据和 Cookie,捕获浏览器截图,并将数据外泄。此外,它还旨在从 Blogger Blogspot URL 接收指令,以便对新打开的标签页进行截图,并删除浏览器中的所有 Cookie等,对用户的网络安全构成严重威胁。
▌塞讯验证规则
针对该黑客组织所采用的手段的攻击模拟规则已经加入到塞讯安全度量验证平台中,您可以在塞讯安全度量验证平台中搜索关键“键盘记录器”、“APT43”、”Kimsuky”、“CVE-2017-11882”或“TRANSLATEXT”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该黑客组织的攻击,平台以业界独有方式确保您的验证过程安全无害。
如需了解更多关于塞讯安全度量验证平台的信息,欢迎拨打官方电话400-860-6366或发送邮件至[email protected]联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。
用持续验证 建长久安全
![警惕!黑客团伙利用新恶意Chrome扩展窃取敏感信息]( "警惕!黑客团伙利用新恶意Chrome扩展窃取敏感信息")
塞讯验证是国内网络安全度量验证平台开创者,致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系,实现有效的网络安全布防。
塞讯安全度量验证平台以攻击者视角出发,针对企业的安全防御体系,自动化执行真实的APT攻击场景,分析完整的攻杀链中所产生的告警、审计、操作等所有相关日志,发现安全防御短板,精准定位安全设备、流程和人员等各方面的弱点,基于实际数据提供可落地的缓解、修复或修补建议。
核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。
▶▶关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯
▶▶关注【塞讯业务可观测】,了解最前沿的业务可观测性和IT运营相关技术、观点及趋势
原文始发于微信公众号(塞讯安全验证):警惕!黑客团伙利用新恶意Chrome扩展窃取敏感信息
评论