北韩骇客利用新型翻译扩展进行网络攻击
主要观点
北韩国家赞助的骇客组织 Kimsuky 利用新型 Chrome 扩展 TRANSLATEXT 进行网络攻击。此攻击针对南韩学术机构进行持续的网络间谍行动,自三月以来未曾间断。黑客使用诈骗和社交工程技术以分发包含恶意可执行文件的 ZIP 档案,并能窃取用户数据。近期,由北韩国家赞助的骇客组织 Kimsuky也被称为 APT43、Velvet Chollima、Emerald Sleet、Black Banshee、ARCHIPELAGO 和 Springtail部署了名为 TRANSLATEXT 的 Chrome 扩展,意图进行一场对南韩学术机构的网络间谍战。根据 The Hacker News 的报导,此攻击自三月以来便持续进行。
Kimsuky 可能利用了针对性的网络钓鱼spearphishing和社交工程技术,来分发一个看似有关韩国军事历史的 ZIP 压缩档。该档案中包含一个可执行文件,当启动后会提取一个 PowerShell 脚本,该脚本会将目标的数据导出到一个寄存 TRANSLATEXT 扩展的 GitHub 存储库中,并传送另一段 PowerShell 代码,Zscaler ThreatLabz 的分析指出。除了绕过 Google、Naver 和 Kakao 的安全防御外,TRANSLATEXT 还能够窃取电子邮件地址、凭证和 cookie,捕获萤幕截图,以及删除 cookie。
梯子大全vp-n以下是 Kimsuky 攻击的具体信息:
攻击特征详细说明攻击组织Kimsuky攻击扩展TRANSLATEXT主要目标南韩学术机构利用的技术网络钓鱼、社交工程传播方式伪装成符合主题的 ZIP 档案数据外泄电子邮件、凭证、cookie,以及截图绕过安全防御绕过 Google、Naver 和 Kakao 的防御这些发现与 CyberArmor 的报告相呼应,该报告详细说明了北韩骇客利用一个旧的微软 Office 漏洞CVE201711882对航空航天和国防产业发动攻击的情况。这显示出北韩对于科技和信息安全的持续威胁。
