Erkennung von Kimsuky APT-Angriffen: Nordkoreanische Hacker missbrauchen die TRANSLATEXT Chrome-Erweiterung zum Diebstahl sensibler Daten
Inhaltsverzeichnis:
Der berüchtigte Nordkorea-verbundene Bedrohungsakteur, bekannt als Kimsuky APT-Gruppe verwendet eine neuartige bösartige Google Chrome-Erweiterung namens „TRANSLATEXT“ für Cyber-Spionage, um unrechtmäßig sensible Benutzerdaten zu sammeln. Die beobachtete laufende Kampagne, die im frühen Frühjahr 2024 begann, richtet sich in erster Linie gegen südkoreanische akademische Institutionen.
Erkennung der Kimsuky-Kampagne unter Nutzung von TRANSLATEXT
Da die APT-Bedrohung aufgrund zunehmender geopolitischer Spannungen zunimmt, sollten sich Sicherheitsexperten über potenzielle Angriffe mit Next-Gen-Tools zur erweiterten Bedrohungserkennung und -jagd auf dem Laufenden halten.
Verlassen Sie sich auf die SOC Prime Platform für kollektive Cyber-Abwehr, um proaktiv verdächtige Aktivitäten im Zusammenhang mit APTs zu identifizieren, einschließlich der neuesten Cyber-Spionage-Kampagne durch Kimsuky , die eine bösartige TRANSLATEXT-Erweiterung nutzt, um Zugriff auf sensible Daten zu erlangen. Unten finden Sie eine spezielle Sigma-Regel unseres aufmerksamen Threat Bounty Entwicklers Sittikorn Sangrattanapitak, die darauf abzielt, die Installation der bösartigen Chrome-Erweiterung zu prüfen.
Mögliche Kimsuky TRANSLATEXT-Zielung aufgrund der Erkennung zugehöriger Befehle (über cmdline)
Die Regel ist mit 27 SIEM-, EDR- und Data Lake-Lösungen kompatibel und ist dem MITRE ATT&CK®-Frameworkzugeordnet. Darüber hinaus ist die Erkennung mit relevanten Metadaten und CTI-Referenzen angereichert, um die Bedrohungsuntersuchung zu erleichtern.
Sicherheitsexperten, die nach weiteren Erkennungsinhalten im Zusammenhang mit Kimsuky APT suchen, können auf den umfassenden Sigma-Regelstapel im Threat Detection Marketplace zugreifen. Klicken Sie einfach auf die Erkennung erkunden -Schaltflächen unten und schauen direkt in die Regelkollektion, wobei täglich neue Erkennungen hinzugefügt werden.
Ob erfahrener Bedrohungsjäger, DFIR-Experte, Sigma-Regelspezialist oder SOC-Analyst, der einen Beitrag zum Gemeinwohl leisten möchte, Sie können der weltweit ersten Crowdsourcing-Initiative zur Erkennungstechnikvon SOC Prime beitreten. Werden Sie Mitglied des Threat Bounty Programms , um Ihr persönliches Talent zu entfalten, Erkennungstechnik- und Bedrohungsjagd-Fähigkeiten zu verbessern, Technologieexpertise zu erweitern und finanzielle Vorteile für Ihren Beitrag zu erhalten.
Angriffsanalyse im Zusammenhang mit Kimsuky unter Verwendung der TRANSLATEXT Chrome-Erweiterung
Seit Anfang des Frühjahrs 2024 beobachtet Zscaler ThreatLabz die laufende offensive Aktivität der Kimsuky APT-Gruppe, die sich auf den südkoreanischen akademischen Sektor konzentriert, insbesondere auf politische Forschungen im Zusammenhang mit Nordkorea. Kimsuky, eine in Nordkorea ansässige Hackergruppe, die unter den Namen APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet oder TA406 verfolgt wird, ist seit über einem Jahrzehnt berüchtigt für Cyber-Spionage und finanziell motivierte Angriffe gegen südkoreanische Einrichtungen. In der neuesten Kampagne nutzen die Gegner ein schädliches Google Chrome-Add-on namens TRANSLATEXT, das als Google Translate getarnt ist, um E-Mail-Adressen, Anmeldedaten oder Cookies zu sammeln und Screenshots von Webbrowsern zu erstellen.
In den ersten Märztagen 2024 lud Kimsuky TRANSLATEXT in ihr unter Kontrolle stehendes GitHub-Repository hoch. Diese Erweiterung umgeht Sicherheitsmaßnahmen bedeutender E-Mail-Anbieter, um sensible Informationen zu extrahieren.
Der Angriffsablauf beginnt mit einem ZIP-Archiv, das vorgibt, Daten zur koreanischen Militärgeschichte zu enthalten. Das Archiv enthält zwei Dateien: ein Dokument im Hangul-Word-Processor-Format und eine ausführbare Datei. Der Start der ausführbaren Datei löst den Download eines PowerShell-Skripts von einem gegnerischen Server aus. Letzteres sendet dann Informationen über das kompromittierte Opfer an ein GitHub-Repository und lädt weiteren PowerShell-Code mithilfe einer LNK-Datei herunter.
Verteidiger empfehlen, Programme aus nicht vertrauenswürdigen Quellen nicht zu installieren, um die Risiken im Zusammenhang mit der neuesten Kimsuky-Kampagne zu mindern. Dies ist unerlässlich, um wachsam zu bleiben und potenzielle Datenverletzungen zu verhindern. Bleiben Sie den aufkommenden Bedrohungen voraus und sichern Sie die Cybersicherheitslage Ihres Unternehmens, indem Sie die vollständige Produktreihe von SOC Prime für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und Validierung von Erkennungsstapeln nutzen.
