TRANSLATEXT マルウェア

北朝鮮の脅威グループ「キムスキー」は、諜報活動のために機密情報を収集することを目的とした、新たな脅威的な Google Chrome 拡張機能に関連している。2024 年 3 月に研究者によって発見された TRANSLATEXT と呼ばれるこの拡張機能は、電子メール アドレス、ユーザー名、パスワード、Cookie、ブラウザーのスクリーンショットを収集する機能を備えている。

このキャンペーンは韓国の学術機関、特に北朝鮮の政治問題を研究している機関を標的にしている。

Kimsukyは著名なサイバー犯罪グループである

Kimsuky は、少なくとも 2012 年から活動している北朝鮮の有名なハッカー集団で、韓国を標的としたサイバースパイ活動や金銭目的の攻撃を行っています。Lazarus クラスターと関連があり、偵察総局 (RGB) の一部である Kimsuky は、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail、Velvet Chollima などの名前でも知られています。彼らの主な使命は、学術関係者や政府関係者を監視して貴重な情報を収集することです。

キムスキーが頻繁に利用するスピアフィッシング戦術

このグループは、既知の Microsoft Office の脆弱性 (CVE-2017-11882) を悪用してキーロガーを配布し、航空宇宙および防衛部門を標的とした攻撃で職業をテーマにしたおとりを使用しています。彼らの目的は、データ収集と二次ペイロード実行が可能なスパイ ツールを展開することです。

このバックドアはこれまで文書化されていなかったようですが、攻撃者はこのバックドアを利用して基本的な偵察を実施し、マシンを乗っ取ったりリモートで制御したりするための追加のペイロードを展開することができます。

この新たな活動における最初のアクセス方法の正確な内容は不明ですが、このグループは感染チェーンを開始するためにスピアフィッシングやソーシャルエンジニアリング攻撃を使用することが知られています。

TRANSLATEXT、Google翻訳を装って被害者を騙す

攻撃の出発点は、韓国の軍事史に関するものだと称する ZIP アーカイブで、ハングル ワードプロセッサ ドキュメントと実行ファイルの 2 つのファイルが含まれています。

実行可能ファイルを起動すると、攻撃者が制御するサーバーから PowerShell スクリプトが取得され、侵害された被害者に関する情報が GitHub リポジトリにエクスポートされ、Windows ショートカット (LNK) ファイルによって追加の PowerShell コードがダウンロードされます。

研究者らは、GitHub で発見された証拠から、Kimsuky は露出を最小限に抑え、短期間でマルウェアを使用して特定の個人を標的にすることを意図していたことが示唆されていると指摘している。

Google Translate を装う TRANSLATEXT には、JavaScript コードが組み込まれており、Google、Kakao、Naver などのサービスのセキュリティ対策を回避し、電子メール アドレス、認証情報、Cookie を盗み出し、ブラウザーのスクリーンショットをキャプチャして盗んだデータを外部に持ち出します。

また、Blogger Blogspot URL からコマンドを取得して、新しく開いたタブのスクリーンショットを撮ったり、ブラウザからすべての Cookie を削除したりするように設計されています。