Detecção de Ataques APT da Kimsuky: Hackers Norte-Coreanos Abusam da Extensão Chrome TRANSLATEXT para Roubar Dados Sensíveis
Índice:
O nefasto ator de ameaça ligado à Coreia do Norte conhecido como grupo APT Kimsuky usa uma nova extensão mal-intencionada do Google Chrome chamada ‘TRANSLATEXT’ para ciberespionagem, a fim de coletar ilicitamente dados sensíveis de usuários. A campanha observada, que começou no início da primavera de 2024, tem como alvo principal as instituições acadêmicas da Coreia do Sul.
Detectar a Campanha Kimsuky Usando o TRANSLATEXT
Visto que a ameaça APT está em ascensão devido ao aumento das tensões geopolíticas, os profissionais de segurança devem estar atentos a potenciais ataques usando ferramentas de próxima geração para detecção e caça a ameaças avançadas.
Confie na Plataforma SOC Prime para defesa cibernética coletiva para identificar proativamente atividades suspeitas ligadas a APTs, incluindo a mais recente campanha de ciberespionagem por Kimsuky usando uma extensão mal-intencionada TRANSLATEXT para obter acesso a dados sensíveis. Abaixo, você pode encontrar uma regra Sigma dedicada, desenvolvida por nosso atento desenvolvedor de Threat Bounty Sittikorn Sangrattanapitak, visada para verificar a instalação da extensão mal-intencionada do Chrome.
A regra é compatível com 27 soluções SIEM, EDR e Data Lake e é mapeada para o framework MITRE ATT&CK®. Além disso, a detecção é enriquecida com metadados relevantes e referências CTI para agilizar a investigação de ameaças.
Profissionais de segurança em busca de mais conteúdo de detecção ligado ao APT Kimsuky podem acessar o conjunto mais amplo de regras Sigma agregado no Threat Detection Marketplace. Basta clicar nos botões Explorar Detecção abaixo e imediatamente aprofundar-se na coleção de regras, com novas detecções sendo adicionadas diariamente.
Se você é um experiente Caçador de Ameaças, especialista em DFIR, especialista em regras Sigma ou Analista SOC ansioso para contribuir para o bem coletivo, pode se juntar à primeira iniciativa de crowdsourcing de engenharia de detecçãoda SOC Prime. Torne-se um membro do Threat Bounty Program para liberar seu talento pessoal, aprimorar habilidades em engenharia de detecção e caça a ameaças, expandir a expertise em tecnologia e obter benefícios financeiros por sua contribuição.
Análise de Ataques Ligados ao Kimsuky Usando a Extensão Chrome TRANSLATEXT
Desde o início da primavera de 2024, a Zscaler ThreatLabz está monitorando a atividade ofensiva contínua ligada ao grupo APT Kimsuky que visa o setor acadêmico da Coreia do Sul, com foco específico em pesquisas políticas relacionadas à Coreia do Norte. Kimsuky, um grupo de hackers baseado na Coreia do Norte e monitorado sob os nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, ou TA406, tem sido notório por mais de uma década por conduzir ciberespionagem e ataques financeiramente motivados voltados para entidades sul-coreanas. Na campanha mais recente, os adversários utilizam um complemento nocivo do Google Chrome chamado TRANSLATEXT, disfarçado de Google Translate, para coletar endereços de e-mail, credenciais ou cookies, e capturar capturas de tela do navegador a partir dos navegadores web.
Na primeira década de março de 2024, Kimsuky carregou TRANSLATEXT para seu repositório GitHub sob seu controle. Esta extensão contorna medidas de segurança dos principais provedores de e-mail para extrair informações sensíveis.
O fluxo de ataque começa com um arquivo ZIP disfarçado de conter dados da história militar coreana. O arquivo contém dois arquivos: um documento no formato Hangul Word Processor e um arquivo executável. A execução do arquivo executável desencadeia o download de um script PowerShell de um servidor adversário. Este último então envia informações sobre a vítima comprometida para um repositório GitHub e baixa mais código PowerShell usando um arquivo LNK.
Os defensores recomendam evitar a instalação de programas de fontes não confiáveis para mitigar os riscos relacionados à última campanha de Kimsuky. É imperativo manter-se vigilante no ciberespaço e prevenir potenciais violações de dados. Mantenha-se à frente das ameaças emergentes e prepare o futuro da postura de cibersegurança de sua organização aproveitando o conjunto completo de produtos da SOC Prime para Engenharia de Detecção impulsionada por IA, Caça de Ameaças Automatizada e Validação de Pilha de Detecção.
