One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8529518 |
| Date de publication | 2024-07-02 17:47:06 (vue: 2024-07-02 18:07:33) |
| Titre | L'acteur de menace nord-coréenne Kimsuky déploie une extension chromée malveillante pour l'espionnage académique North Korean Threat Actor Kimsuky Deploys Malicious Chrome Extension for Academic Espionage |
| Texte | #### Géolocations ciblées
- Corée
#### Industries ciblées
- Éducation
## Instantané
Zscaler ManneyLabz a identifié de nouvelles activités par le groupe nord-coréen avancé de menace persistante (APT) Kimsuky, suivi par Microsof 9F41DD58E), ciblant le monde universitaire sud-coréen.
## Description
Connu pour son cyber-espionnage et ses attaques financières, Kimsuky cible principalement les organisations sud-coréennes, telles que les groupes de réflexion, les organismes gouvernementaux et le monde universitaire.Ils utilisent diverses tactiques, y compris les extensions malveillantes de Google Chrome, pour mener leurs opérations.
En juillet 2022, [Kimsuky a utilisé des extensions de chrome nocives] (https://www.volexity.com/blog/2022/07/28/sharptongue-deploys-clever-mail-staling-browser-extension-sharpext/) pour cibler les utilisateurs des utilisateurs pour cibler les utilisateursAux États-Unis, en Europe et en Corée du Sud.Récemment, ils ont introduit une nouvelle extension appelée "Translatext", conçue pour voler des informations sensibles comme les adresses e-mail, les noms d'utilisateur, les mots de passe, les cookies et les captures d'écran de navigateur.
Translatext a été téléchargé dans un référentiel Github contrôlé par l'attaquant le 7 mars 2024 et est capable de contourner les mesures de sécurité des principaux fournisseurs de messagerie comme Gmail et Kakao et Naver de la Corée du Sud.Les principaux objectifs étaient les universitaires sud-coréens impliqués dans la recherche politique sur les affaires nord-coréennes.
KimSuky Distributed Translatext via un fichier d'archive nommé«Revue de l'examen des arguments militaires coréens (1) .zip, qui traduit to "Revue d'une monographie sur l'histoire militaire coréenne", contenant des documents HWP leurres et un exécutable de Windows déguisé.Lorsqu'il est exécuté, le logiciel malveillant récupère un script PowerShell du serveur de l'acteur de menace, qui rassemble des informations sur la victime et crée des raccourcis pour récupérer plus de scripts.
Au cours de leur enquête, ThreatLabz a découvert un autre script PowerShell lié à un compte GitHub associé à l'acteur, montrant les données des victimes et une extension chromée précédemment supprimée.Translatext a été téléchargé par «googletranslate.crx», contenant un JavaScript malveillant pour voler des données et échapper aux mesures de sécurité.Le manifeste de l'extension \\ a demandé des autorisations excessives pour injecter des scripts dans les pages Web.
Translatext utilise des demandes de post HTTP pour les communications de commande et de contrôle (C2).Les commandes incluent la capture de captures d'écran du navigateur, la suppression des cookies et l'injection d'URL MS-PowerPoint pour initier des clics.Le script d'arrière-plan gère ces activités et envoie des données volées à un serveur C2 distant.
Les victimes connues de cette campagne sont les chercheurs universitaires sud-coréens axés sur les questions géopolitiques impliquant la Corée du Nord.Les caractéristiques du serveur C2 et la victimologie indiquent une implication de Kimsuk \\, le groupe utilisant la webshell B374K pour l'exfiltration des données.Les tactiques de redirection de la campagne s'alignent avec les stratégies connues de Kimsuky \\ pour éviter la détection.
## Les références
[L'acteur de menace nord-coréenne Kimsuky déploie une extension chromée malveillante pour l'espionnage académique] (https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia#new_tab).Zscaler (consulté en 2024-07-02)
#### Targeted Geolocations - Korea #### Targeted Industries - Education ## Snapshot Zscaler ThreatLabz has identified new activities by the North Korean advanced persistent threat (APT) group Kimsuky, tracked by Microsoft as [Emerald Sleet](https://security |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### 2022 2024 academia academia#new academic academics accessed account activities actor addresses advanced affairs align another apt archive argument associated attacker attacks avoid b374k background bodies browser bypassing called campaign capable capturing characteristics chrome clever clicks com/blog/2022/07/28/sharptongue com/blogs/security com/intel command commands communications conduct containing control controlled cookies creates crx cyber data decoy deleted deploys description designed detection discovered disguised distributed documents during education email emerald espionage europe evade excessive executable executed exfiltration extension extensions file financial focused from gathers geolocations geopolitical github gmail google googletranslate government group harmful has history http https://security https://www hwp identified include including industries information initiate inject injecting introduced investigation involved involvement involving issues javascript july kakao kimsuky known korea korean like linked mail mainly major malicious malware manages manifest march measures microsoft military monograph more named naver new north operations organizations pages passwords permissions persistent point political post powerpoint powershell previously primary profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e providers recently redirection references remote removing repository requested requests research research/kimsuky researchers retrieve retrieves review screenshots script scripts security sends sensitive server sharpext/ shortcuts showing sleet snapshot south steal stealing stolen strategies such tab tactics tanks target targeted targeting targets these think threat threatlabz through tracked translates translatext uploaded urls use used usernames users uses using various victim victimology victims volexity web webshell when which windows zip zscaler “Korean |
| Tags | Malware Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.