Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Северокорейская хакерская группа Kimsuky недавно запустила новое вредоносное расширение для Google Chrome

01/07/24

hack korea3-Jul-01-2024-11-02-18-0261-AM

Об этом сообщили специалисты из компании Zscaler, которые обнаружили зловредную активность в начале марта 2024 года.

Расширение TRANSLATEXT способно собирать адреса электронной почты, логины, пароли, куки и делать скриншоты браузера. Основной целью атаки стали представители академического сообщества Южной Кореи, занимающиеся вопросами северокорейской политики, пишет Securitylab.

Группировка Kimsuky, активная с 2012 года, известна своими кибершпионскими и финансово мотивированными атаками против южнокорейских организаций. Она является частью Разведывательного общего бюро (RGB) и тесно связана с другой известной киберпреступной группой, действующей в интересах КНДР — Lazarus. Kimsuky также известна под именами APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail и Velvet Chollima.

В последние недели Kimsuky активно использовала уязвимость в Microsoft Office (CVE-2017-11882) для распространения кейлоггера и приманки с предложениями о работе в атаках на аэрокосмический и оборонный секторы, направленных на внедрение шпионских инструментов.

Компания CyberArmor сообщила в конце июня, что Kimsuky разработала новый бэкдор, позволяющий проводить базовую разведку и загружать дополнительные полезные нагрузки для удалённого контроля над машиной. Кампания получила название Niki.

Точный способ начального доступа в ходе новой активности пока не установлен. Однако известно, что группа использует фишинговые методы и социальную инженерию для активации цепочки заражения. Атака обычно начинается с ZIP-архива, якобы связанного с корейской армией, содержащего документ и исполняемый файл.

Запуск исполняемого файла приводит к загрузке PowerShell-скрипта с сервера злоумышленников, который затем отправляет информацию о жертве на репозиторий GitHub и загружает дополнительный PowerShell-код с помощью ярлыка Windows (LNK).

Zscaler обнаружила, что аккаунт хакеров на GitHub был создан 13 февраля 2024 года и кратковременно размещал расширение TRANSLATEXT под названием «GoogleTranslate.crx». Однако файлы были удалены самими злоумышленниками уже на следующий день, что указывает на намерение Kimsuky минимизировать воздействие и использовать вредоносное ПО кратковременно для атаки на конкретных лиц.

Расширение TRANSLATEXT, маскирующееся под Google Translate, включает в себя JavaScript-код для кражи данных и обхода мер безопасности таких сервисов, как Google, Kakao и Naver. Расширение также способно получать команды с Blogger Blogspot для создания скриншотов новых вкладок и удаления всех куки-файлов браузера.

В конечном итоге, основная цель группы Kimsuky — проведение слежки за академическими и правительственными деятелями для сбора информации, полезной для внешней разведки КНДР.

Темы:ПреступленияКНДРЮжная КореяMicrosoft OfficeZscaler
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...