Siber Muhbir

Mart 2024'ün başlarında etkinliği gözlemleyen Zscaler ThreatLabz, e-posta adreslerini, kullanıcı adlarını, şifreleri, çerezleri ve tarayıcı ekran görüntülerini toplama yeteneğini vurgulayarak TRANSLATEXT uzantısını kod olarak adlandırdı.

Hedeflenen kampanyanın Güney Kore akademisine, özellikle de Kuzey Kore siyasi meselelerine odaklananlara yönelik olduğu söyleniyor.

Kimsuky, en az 2012'den beri aktif olduğu bilinen, Güney Koreli kuruluşları hedef alan siber casusluk ve finansal güdümlü saldırılar düzenleyen Kuzey Kore'den kötü şöhretli bir bilgisayar korsanlığı ekibidir.

Lazarus kümesinin kardeş grubu ve Keşif Genel Bürosu'nun (RGB) bir parçası olan bu küme, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ve Velvet Chollima isimleri altında da izleniyor.

Son haftalarda grup, bir keylogger dağıtmak için Microsoft Office'te (CVE-2017-11882) bilinen bir güvenlik açığını silahlandırdı ve veri toplama ve ikincil yük yürütme işlevlerine sahip bir casusluk aracını düşürmek amacıyla havacılık ve savunma sektörlerini hedef alan saldırılarda iş temalı yemler kullandı.

Siber güvenlik şirketi CyberArmor, "Daha önce kamuya açık olarak belgelenmemiş gibi görünen arka kapı, saldırganın temel keşif yapmasına ve makineyi ele geçirmek veya uzaktan kontrol etmek için ek yükler bırakmasına izin veriyor" dedi. Kampanyaya Niki adını verdi.

Grubun enfeksiyon zincirini etkinleştirmek için hedef odaklı kimlik avı ve sosyal mühendislik saldırılarından yararlandığı bilinmesine rağmen, yeni keşfedilen etkinlikle ilişkili ilk erişim şekli şu anda belirsizdir.

Saldırının başlangıç noktası, Kore askeri tarihi hakkında olduğu iddia edilen ve iki dosya içeren bir ZIP arşividir: Bir Hangul Word Processor belgesi ve bir yürütülebilir dosya.

Yürütülebilir dosyanın başlatılması, saldırgan tarafından denetlenen bir sunucudan bir PowerShell betiğinin alınmasına neden olur ve bu da güvenliği aşılmış kurban hakkındaki bilgileri bir GitHub deposuna aktarır ve bir Windows kısayol (LNK) dosyası aracılığıyla ek PowerShell kodu indirir.

Zscaler, 13 Şubat 2024'te oluşturulan GitHub hesabını, şu anda teslimat yöntemi bilinmemekle birlikte, TRANSLATEXT uzantısını "GoogleTranslate.crx" adı altında kısaca barındırdığını söyledi.

Güvenlik araştırmacısı Seongsu Park, "Bu dosyalar 7 Mart 2024'te depoda mevcuttu ve ertesi gün silindi, bu da Kimsuky'nin maruz kalmayı en aza indirmeyi ve kötü amaçlı yazılımı belirli kişileri hedeflemek için kısa bir süre için kullanmayı amaçladığını ima ediyor" dedi.

Google Translate gibi görünen TRANSLATEXT, Google, Kakao ve Naver gibi hizmetler için güvenlik önlemlerini atlamak için JavaScript kodunu içerir; e-posta adreslerini, kimlik bilgilerini ve çerezleri sifonlamak; tarayıcı ekran görüntülerini yakalayın; ve çalınan verileri sızdırmak.

Ayrıca, yeni açılan sekmelerin ekran görüntülerini almak ve diğerlerinin yanı sıra tarayıcıdaki tüm çerezleri silmek için bir Blogger Blogspot URL'sinden komutlar almak üzere tasarlanmıştır.

Park, "Kimsuky grubunun temel hedeflerinden biri, değerli istihbarat toplamak için akademik ve hükümet personeli üzerinde gözetim yapmaktır" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.