Détection des attaques APT de Kimsuky : des hackers nord-coréens exploitent l’extension Chrome TRANSLATEXT pour voler des données sensibles
Table des matières :
L’acteur de menace lié à la Corée du Nord, connu sous le nom de groupe APT Kimsuky utilise une nouvelle extension malveillante pour Google Chrome appelée “TRANSLATEXT” pour mener des cyber-espionnages et collecter illicitement des données utilisateur sensibles. La campagne en cours, observée depuis le début du printemps 2024, cible principalement les institutions académiques sud-coréennes.
Détecter la Campagne de Kimsuky Exploitant TRANSLATEXT
Étant donné que la menace APT est en hausse en raison de tensions géopolitiques croissantes, les professionnels de la sécurité doivent rester vigilants face aux attaques potentielles en utilisant des outils de nouvelle génération pour la détection et la chasse aux menaces avancées.
Comptez sur la Plateforme SOC Prime pour une défense cyber collective afin d’identifier proactivement les activités suspectes liées aux APTs, y compris la dernière campagne de cyber-espionnage par Kimsuky utilisant une extension malveillante TRANSLATEXT pour accéder à des données sensibles. Vous trouverez ci-dessous une règle Sigma dédiée développée par notre développeur expérimenté en Threat Bounty Sittikorn Sangrattanapitak, visant à vérifier l’installation de l’extension malveillante pour Chrome.
La règle est compatible avec 27 solutions SIEM, EDR et Data Lake et est cartographiée selon le cadre MITRE ATT&CK®. De plus, la détection est enrichie de métadonnées pertinentes et de références CTI pour simplifier l’enquête sur les menaces.
Les professionnels de la sécurité cherchant plus de contenu de détection lié à l’APT Kimsuky peuvent accéder à l’ensemble plus large de règles Sigma agrégées dans la Threat Detection Marketplace. Cliquez simplement sur les boutons Explorer la Détection ci-dessous et plongez immédiatement dans la collection de règles, avec de nouvelles détections ajoutées quotidiennement.
Que vous soyez un chasseur de menaces chevronné, un expert DFIR, un spécialiste des règles Sigma ou un analyste SOC désireux de contribuer au bien collectif, vous pouvez rejoindre la première initiative mondiale de crowdsourcing en ingénierie de détectionpar SOC Prime. Devenez membre du programme Threat Bounty pour libérer votre talent personnel, améliorer vos compétences en ingénierie de détection et chasse aux menaces, élargir votre expertise technologique, et bénéficier de récompenses financières pour votre contribution.
Analyse d’Attaque Liée à Kimsuky Utilisant l’Extension Chrome TRANSLATEXT
Depuis le début du printemps 2024, Zscaler ThreatLabz surveille les activités offensives en cours liées au groupe APT de Kimsuky ciblant le secteur académique sud-coréen, spécifiquement axé sur la recherche politique relative à la Corée du Nord. Kimsuky, un groupe de hackers basé en Corée du Nord et suivi sous les noms APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, ou TA406, est notoire depuis plus d’une décennie pour ses cyber-espionnages et attaques financièrement motivées visant des entités sud-coréennes. Dans la dernière campagne, les adversaires utilisent un add-on malveillant pour Google Chrome appelé TRANSLATEXT, déguisé en Google Translate, pour collecter des adresses e-mail, des identifiants, ou des cookies, et capturer des captures d’écran de navigateurs Web.
Dans la première décennie de mars 2024, Kimsuky a téléchargé TRANSLATEXT sur leur référentiel GitHub sous leur contrôle. Cette extension contourne les mesures de sécurité des principaux fournisseurs d’e-mails pour extraire des informations sensibles.
Le flux d’attaque commence par une archive ZIP déguisée comme contenant des données sur l’histoire militaire coréenne. L’archive contient deux fichiers : un document au format Hangul Word Processor et un fichier exécutable. L’exécution du fichier exécutable déclenche le téléchargement d’un script PowerShell depuis un serveur adversaire. Ce dernier envoie ensuite des informations sur la victime compromise à un référentiel GitHub et télécharge du code PowerShell supplémentaire à l’aide d’un fichier LNK.
Les défenseurs recommandent d’éviter l’installation de programmes provenant de sources non fiables pour atténuer les risques liés à la dernière campagne de Kimsuky. Cela est impératif pour rester vigilant en matière de cybersécurité et prévenir les violations potentielles de données. Prenez les devants face aux menaces émergentes et anticipez la cybersécurité de votre organisation en vous appuyant sur le ensemble complet de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation de pile de détection.
