Detección de Ataques APT de Kimsuky: Hackers Norcoreanos Abusan de la Extensión TRANSLATEXT de Chrome para Robar Datos Sensibles
Tabla de contenidos:
El actor de amenaza nefasto vinculado a Corea del Norte conocido como el grupo APT Kimsuky utiliza una novedosa extensión maliciosa de Google Chrome denominada «TRANSLATEXT» para ciberespionaje y recopila ilÃcitamente datos sensibles de usuarios. La campaña en curso observada, que comenzó a principios de la primavera de 2024, está dirigida principalmente a instituciones académicas surcoreanas.
Detecta la Campaña de Kimsuky Aprovechando TRANSLATEXT
Ante el aumento de la amenaza APT debido a las crecientes tensiones geopolÃticas, los profesionales de seguridad deben mantenerse al tanto de posibles ataques utilizando herramientas de última generación para la detección avanzada de amenazas y caza.
ConfÃa en la plataforma SOC Prime para la defensa cibernética colectiva y proactivamente identifica actividad sospechosa vinculada a APTs, incluyendo la última campaña de ciberespionaje por Kimsuky aprovechando una extensión maliciosa TRANSLATEXT para obtener acceso a datos sensibles. A continuación, puedes encontrar una regla Sigma dedicada por nuestro experto desarrollador de Threat Bounty Sittikorn Sangrattanapitak, destinada a verificar la instalación de la extensión maliciosa de Chrome.
La regla es compatible con 27 soluciones SIEM, EDR y Data Lake y está mapeada al marco MITRE ATT&CK®. Además, la detección se enriquece con metadatos relevantes y referencias CTI para agilizar la investigación de amenazas.
Los profesionales de seguridad que buscan más contenido de detección vinculado al APT de Kimsuky pueden acceder al conjunto más amplio de reglas Sigma agregado en el Mercado de Detección de Amenazas. Solo presiona los Explorar Detección botones a continuación e inmediatamente profundiza en la colección de reglas, con nuevas detecciones que se agregan diariamente.
Tanto si eres un Cazador de Amenazas experimentado, un experto en DFIR, especialista en reglas Sigma o Analista SOC ansioso por contribuir al bien colectivo, puedes unirte a la primera iniciativa mundial de ingenierÃa de detección colaborativa de SOC Prime. Conviértete en miembro del Programa Threat Bounty para desatar tu talento personal, mejorar tus habilidades de ingenierÃa de detección y caza de amenazas, ampliar tu experiencia tecnológica y obtener beneficios financieros por tu contribución.
Análisis de Ataque Vinculado a Kimsuky Utilizando la Extensión de Chrome TRANSLATEXT
Desde principios de la primavera de 2024, Zscaler ThreatLabz ha estado monitoreando la actividad ofensiva en curso vinculada a la banda APT Kimsuky que tiene como objetivo el sector de la industria académica surcoreana, centrada especÃficamente en la investigación polÃtica relacionada con Corea del Norte. Kimsuky, un grupo de hackers con sede en Corea del Norte y rastreado bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, o TA406, ha sido notorio por más de una década por realizar ciberespionaje y ataques con fines de lucro dirigidos a entidades surcoreanas. En la última campaña, los adversarios utilizan un complemento dañino de Google Chrome llamado TRANSLATEXT, que está disfrazado de Google Translate, para recopilar direcciones de correo electrónico, credenciales o cookies, y capturar capturas de pantalla del navegador de los navegadores web.
En la primera década de marzo de 2024, Kimsuky subió TRANSLATEXT a su repositorio de GitHub bajo su control. Esta extensión evade las medidas de seguridad para los principales proveedores de correo electrónico para extraer información sensible.
El flujo del ataque comienza con un archivo ZIP disfrazado como si contuviera datos de historia militar coreana. El archivo contiene dos archivos: un documento en formato Hangul Word Processor y un archivo ejecutable. Ejecutar el archivo ejecutable desencadena la descarga de un script de PowerShell desde un servidor adversario. Este último luego envÃa información sobre la vÃctima comprometida a un repositorio de GitHub y descarga más código de PowerShell usando un archivo LNK.
Los defensores recomiendan evitar la instalación de programas desde fuentes no confiables para mitigar los riesgos relacionados con la última campaña de Kimsuky. Esto es imperativo para mantenerse ciberseguro y prevenir posibles violaciones de datos. Mantente a la vanguardia de las amenazas emergentes y protege a futuro la postura de seguridad cibernética de tu organización aprovechando el conjunto completo de productos de SOC Prime para IngenierÃa de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Pilas de Detección.
