Tin tặc Triều Tiên sử dụng tiện ích mở rộng trình duyệt độc hại để theo dõi tài khoản email

Tiện ích mở rộng trình duyệt độc hại

Một kẻ đe dọa hoạt động có lợi ích liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên có khả năng đánh cắp nội dung email từ Gmail và AOL.

Công ty bảo mật mạng Volexity đã quy phần mềm độc hại vào một cụm hoạt động mà nó gọi Giọng điệu sắc sảođược cho là chia sẻ sự chồng chéo với một tập thể đối địch được gọi công khai dưới cái tên Kimsuky.

SharpTongue có lịch sử chỉ ra những cá nhân làm việc cho các tổ chức ở Mỹ, châu Âu và Hàn Quốc “làm việc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm”, nhà nghiên cứu Paul Rascagneres và Thomas Lancaster nói.

Việc Kimsuky sử dụng các tiện ích mở rộng giả mạo trong các cuộc tấn công không phải là mới. Vào năm 2018, nam diễn viên đang tìm kiếm một plugin Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.

Nhưng nỗ lực gián điệp mới nhất khác ở chỗ nó sử dụng tiện ích mở rộng, có tên là Sharpext, để cướp dữ liệu email. Các nhà nghiên cứu lưu ý: “Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản webmail của nạn nhân khi họ duyệt qua nó”.

Xem tiếp:   Lỗi nghiêm trọng có thể cho phép kẻ tấn công tấn công từ xa, làm hỏng thiết bị lưu điện thông minh APC

Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Edge và Naver's Whale, với phần mềm độc hại đánh cắp thư được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.

Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp Tùy chọn và Tùy chọn Bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ từ xa sau khi vi phạm thành công hệ thống Windows mục tiêu.

Tiện ích mở rộng trình duyệt độc hại

Bước này thành công bằng cách bật bảng DevTools trong tab đang hoạt động để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo cảnh báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.

Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các tiện ích mở rộng trình duyệt độc hại được sử dụng như một phần của giai đoạn hậu khai thác của một thỏa hiệp,” các nhà nghiên cứu cho biết. “Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn.”

Các phát hiện được đưa ra vài tháng sau khi nam diễn viên Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.

Xem tiếp:   Các tình huống hack: Cách tin tặc chọn nạn nhân của họ

Tuần trước, công ty an ninh mạng Securonix đã kết thúc một chiến dịch tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, bao gồm Cộng hòa Séc, Ba Lan và các quốc gia khác, như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.

Mặc dù các chiến thuật và công cụ được sử dụng trong các cuộc xâm nhập chỉ ra một nhóm hack của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến tấn công cho thấy có sự tham gia của diễn viên APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) do Nga liên kết.

Các nhà nghiên cứu cho biết: “Cuối cùng, điều làm cho trường hợp cụ thể này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về nghề nghiệp với APT28,” các nhà nghiên cứu cho biết thêm, nó có thể là một trường hợp một nhóm giả mạo thành một nhóm khác nhằm gây nhầm lẫn giữa phân bổ và phát hiện thoát. .

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …