Kimsuky gebruikt de Chrome-extensie TRANSLATEXT om gevoelige gegevens te stelen

De aan Noord-Korea gelinkte bedreigingsacteur, bekend als Kimsuky, is in verband gebracht met het gebruik van een nieuwe kwaadaardige Google Chrome-extensie die is ontworpen om gevoelige informatie te stelen als onderdeel van een voortdurende inspanning om inlichtingen te verzamelen.

Zscaler ThreatLabz, dat de activiteit begin maart 2024 observeerde, heeft de extensie de codenaam TRANSLATEXT gegeven. Daarmee wil het benadrukken dat het e-mailadressen, gebruikersnamen, wachtwoorden, cookies en browserschermafbeeldingen kan verzamelen.

De gerichte campagne zou gericht zijn tegen de Zuid-Koreaanse academische wereld, met name tegen degenen die zich richten op Noord-Koreaanse politieke zaken.

Kimsuky is een beruchte hackersbende uit Noord-Korea die al sinds 2012 actief is en cyberespionage en financieel gemotiveerde aanvallen organiseert die gericht zijn op Zuid-Koreaanse entiteiten.

Deze zustergroep van de Lazarus-cluster en onderdeel van het Reconnaissance General Bureau (RGB), wordt ook gevolgd onder de namen APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail en Velvet Chollima.

De afgelopen weken heeft de groep een bekend beveiligingslek in Microsoft Office (CVE-2017-11882) misbruikt om een ​​keylogger te verspreiden. Ook heeft de groep werkgerelateerde lokmiddelen gebruikt bij aanvallen op de lucht- en ruimtevaart- en defensiesector. Het doel was om een ​​spionagetool te droppen met functionaliteit voor het verzamelen van gegevens en het uitvoeren van secundaire payloads.

“De backdoor, die nog niet eerder openbaar gedocumenteerd lijkt te zijn, stelt de aanvaller in staat om basale verkenningen uit te voeren en extra payloads te droppen om de machine over te nemen of op afstand te besturen”, aldus cybersecuritybedrijf CyberArmor. Het heeft de campagne de naam Niki gegeven.

Chrome-extensie

De exacte manier waarop de nieuw ontdekte activiteit als eerste toegang wordt gebruikt, is nog onduidelijk. Wel is bekend dat de groep spear-phishing en social engineering-aanvallen gebruikt om de infectieketen te activeren.

Het startpunt van de aanval is een ZIP-archief dat zogenaamd over de Koreaanse militaire geschiedenis gaat en dat twee bestanden bevat: een Hangul-tekstverwerkingsdocument en een uitvoerbaar bestand.

Het starten van het uitvoerbare bestand resulteert in het ophalen van een PowerShell-script van een door de aanvaller bestuurde server, die op zijn beurt informatie over het aangetaste slachtoffer exporteert naar een GitHub-repository en aanvullende PowerShell-code downloadt door middel van een Windows-snelkoppelingsbestand (LNK).

Zscaler zegt dat het het GitHub-account heeft gevonden dat op 13 februari 2024 is aangemaakt en dat kortstondig de TRANSLATEXT-extensie hostte onder de naam ‘GoogleTranslate.crx’. De aflevermethode is echter op dit moment onbekend.

“Deze bestanden waren op 7 maart 2024 in de repository aanwezig en werden de volgende dag verwijderd, wat impliceert dat Kimsuky van plan was de blootstelling te minimaliseren en de malware voor een korte periode te gebruiken om zich op specifieke personen te richten”, aldus beveiligingsonderzoeker Seongsu Park.

TRANSLATEXT, dat zich voordoet als Google Translate, gebruikt JavaScript-code om beveiligingsmaatregelen voor diensten als Google, Kakao en Naver te omzeilen, e-mailadressen, inloggegevens en cookies te stelen, schermafbeeldingen van browsers te maken en gestolen gegevens te ontfutselen.

Het is ook ontworpen om opdrachten op te halen van een Blogger Blogspot-URL om onder andere schermafbeeldingen te maken van nieuw geopende tabbladen en alle cookies van de browser te verwijderen.

“Een van de belangrijkste doelstellingen van de Kimsuky-groep is het uitvoeren van toezicht op academisch en overheidspersoneel om waardevolle inlichtingen te verzamelen”, aldus Park.

Thijs Van der Does