Rilevamento Attacchi APT Kimsuky: Hacker Nordcoreani Sfruttano l’Estensione Chrome TRANSLATEXT per Rubare Dati Sensibili
Indice:
Il nefasto attore di minaccia legato alla Corea del Nord noto come gruppo APT Kimsuky utilizza una nuova estensione malevola di Google Chrome soprannominata “TRANSLATEXT” per ciberespionaggio al fine di raccogliere illecitamente dati sensibili degli utenti. La campagna in corso osservata, iniziata all’inizio della primavera del 2024, mira principalmente alle istituzioni accademiche sudcoreane.
Rileva la Campagna Kimsuky che Sfrutta TRANSLATEXT
Vedendo che la minaccia APT è in aumento a causa delle crescenti tensioni geopolitiche, i professionisti della sicurezza dovrebbero rimanere informati sui potenziali attacchi utilizzando strumenti di nuova generazione per rilevamento e caccia alle minacce avanzate.
Affidati alla piattaforma SOC Prime per la difesa cibernetica collettiva per identificare proattivamente attività sospette collegate agli APT, inclusa l’ultima campagna di ciberespionaggio da parte di Kimsuky che sfrutta un’estensione malevola TRANSLATEXT per ottenere accesso a dati sensibili. Di seguito, puoi trovare una regola Sigma dedicata dal nostro attento sviluppatore Threat Bounty Sittikorn Sangrattanapitak, mirata a controllare l’installazione della estensione maligna di Chrome.
La regola è compatibile con 27 soluzioni SIEM, EDR e Data Lake e mappata al framework MITRE ATT&CK®. Inoltre, il rilevamento è arricchito con metadati rilevanti e riferimenti CTI per semplificare l’indagine sulle minacce.
I professionisti della sicurezza che cercano più contenuti di rilevamento collegati all’APT Kimsuky possono accedere alla più ampia pila di regole Sigma aggregata nel Threat Detection Marketplace. Basta premere il tasto Esplora Rilevamento qui sotto e immediatamente approfondire la collezione di regole, con nuove rilevazioni aggiunte quotidianamente.
Che tu sia un esperto Threat Hunter, un esperto DFIR, uno specialista delle regole Sigma o un analista SOC desideroso di contribuire al bene collettivo, puoi unirti alla prima iniziativa mondiale di crowdsourcing per l’ingegneria del rilevamentodi SOC Prime. Diventa un membro del Programma Threat Bounty per liberare il tuo talento personale, migliorare le competenze in ingegneria del rilevamento e caccia alle minacce, espandere l’expertise tecnologico e ottenere benefici finanziari per il tuo contributo.
Analisi degli Attacchi Collegata a Kimsuky Usando l’Estensione Chrome TRANSLATEXT
Dall’inizio della primavera del 2024, Zscaler ThreatLabz sta monitorando l attività offensiva in corso collegata alla gang APT Kimsuky che prende di mira il settore dell’industria accademica sudcoreana, con particolare focalizzazione sulla ricerca politica relativa alla Corea del Nord. Kimsuky, un gruppo di hacker con sede in Corea del Nord rintracciato sotto i nomi APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet o TA406, è noto da oltre un decennio per condurre ciberespionaggio e attacchi motivati finanziariamente mirati alle entità sudcoreane. Nell’ultima campagna, gli avversari usano come arma un componente aggiuntivo malevolo di Google Chrome chiamato TRANSLATEXT, travestito da Google Translate, per raccogliere indirizzi email, credenziali o cookie e catturare screenshot del browser dai web browser.
Durante il primo decennio di marzo 2024, Kimsuky ha caricato TRANSLATEXT nel loro repository GitHub sotto il loro controllo. Questa estensione bypassa le misure di sicurezza dei principali provider di email per estrarre informazioni sensibili.
Il flusso dell’attacco inizia con un archivio ZIP camuffato come contenente dati di storia militare coreana. L’archivio include due file: un documento nel formato Hangul Word Processor e un file eseguibile. L’esecuzione del file eseguibile attiva il download di uno script PowerShell da un server degli avversari. Successivamente, invia informazioni sulla vittima compromessa a un repository GitHub e scarica ulteriori codici PowerShell utilizzando un file LNK.
I difensori raccomandano di evitare l’installazione di programmi da fonti non attendibili per mitigare i rischi connessi all’ultima campagna di Kimsuky. Questo è imperativo per rimanere vigili ciberneticamente e prevenire potenziali violazioni dei dati. Resta all’avanguardia delle minacce emergenti e proteggi a lungo termine la postura di sicurezza informatica della tua organizzazione sfruttando l’intera suite di prodotti di SOC Prime per l’ingegneria del rilevamento potenziata dall’IA, la caccia automatizzata alle minacce e la validazione dello stack di rilevamento.
