Alman Federal Ofisi'nden Anayasanın Korunması (BFV) ve Kore Cumhuriyeti Ulusal İstihbarat Servisi'nden ortak bir siber güvenlik danışmanlığı, Kissuky'nin Target'ın Gmail e -postalarını çalmak için krom uzantıları kullanımı konusunda uyarıyor.
Kimuky (diğer adıyla Thallium, Velvet Chollima), diplomatlara, gazetecilere, devlet kurumlarına, üniversite profesörlerine ve politikacılara karşı siber ihale yapmak için mızrak kimlik avı kullanan bir Kuzey Kore tehdit grubudur. Başlangıçta Güney Kore'deki hedeflere odaklanan tehdit aktörleri, ABD ve Avrupa'daki varlıkları hedeflemek için zaman içinde operasyonları genişletti.
Ortak güvenlik danışmanlığı, hackleme grubu tarafından kullanılan iki saldırı yöntemini uyardı - kötü niyetli bir krom uzantısı ve Android uygulamaları.
Mevcut kampanya Güney Kore'deki insanları hedef alırken, Kimuky tarafından kullanılan teknikler küresel olarak uygulanabilir, bu nedenle farkındalığı artırmak hayati önem taşır.
Saldırı, kurbanı Microsoft Edge veya Cesur gibi krom tabanlı tarayıcılara kuracak olan kötü niyetli bir krom uzantısı kurmaya çağıran bir mızrak aktı e-postasıyla başlar.
Uzantı 'AF' olarak adlandırılır ve yalnızca kullanıcı "(Chrome | Edge | Cesur): // Extensions" girerse uzantılar listesinde görülebilir.
Mağdur Gmail'i enfekte olmuş tarayıcı aracılığıyla ziyaret ettiğinde, uzantı kurbanın e -posta içeriğini kesmek ve çalmak için otomatik olarak etkinleştirilir.
Uzatma, çalınan verileri saldırganın röle sunucusuna göndermek için tarayıcıdaki Devtools API'sını (geliştirici araçları API) kötüye kullanıyor ve hesap güvenlik korumalarını kırmadan veya atlamadan e -postalarını gizlice çalıyor.
Bu, Kimsuky, ihlal edilen sistemlerden e -postaları çalmak için ilk kez kötü niyetli krom uzantıları kullanmadı.
Temmuz 2022'de Volexity, "Sharpext" adlı bir uzantı kullanarak benzer bir kampanya hakkında bilgi verdi. Aralık 2018'de Netscout, Kimuky'nin akademi hedeflerine karşı aynı taktiği izlediğini bildirdi.
Bu sefer, Kissuky'nin son saldırılarında kullandığı kötü niyetli dosyaların karmaları:
Kimuky tarafından kullanılan Android kötü amaçlı yazılımlara "FastViewer", "FastFire" veya "FastSpy Dex" olarak adlandırılır ve Ekim 2022'den beri bir güvenlik eklentisi veya belge görüntüleyici olarak görüldüğü bilinmektedir.
Bununla birlikte, Koreli siber güvenlik firması Ahnlab, tehdit aktörlerinin Aralık 2022'de FastViewer'ı güncellediğini bildirdi, bu nedenle kötü amaçlı yazılımları kamuya açıklandıktan sonra kullanmaya devam ettiler.
Saldırı, Kimuky ile daha önce kimlik avı e -postaları veya diğer yollarla çaldıkları kurbanın Google hesabına giriş yaparak ortaya çıkıyor.
Ardından, bilgisayar korsanları Google Play'in web-telefondan senkronizasyon özelliğini kötüye kullanır, bu da kullanıcıların kötü amaçlı yazılımları yüklemek için bağlantılı cihazlarına bilgisayarlarından (Play Store web sitesi) uygulamalarını yüklemelerini sağlar.
Saldırganların Google Play'in kurbanın cihazına yüklemesini isteyen kötü amaçlı uygulama, "Yalnızca Dahili Test" için Google Play Konsol Geliştirici Sitesine gönderilir ve kurbanın cihazının bir test hedefi olarak eklendiği söylenir.
Bu teknik büyük ölçekli enfeksiyonlar için işe yaramaz, ancak Kimuky tarafından yönetilenler gibi dar hedefleme işlemleri söz konusu olduğunda olağanüstü ve oldukça gizlidir.
Android kötü amaçlı yazılım, bilgisayar korsanlarının dosyaları bırakmasını, oluşturmasını, silmesini, silmesini veya çalmasını, iletişim listelerini almasını, arama yapmasını, SMS'yi izlemesini veya göndermesini, kamerayı etkinleştirmesini, kamerayı gerçekleştirmesini ve masaüstünü görüntüleyen bir sıçan (uzaktan erişim Truva) aracıdır.
Kimuky taktiklerini geliştirmeye ve Gmail hesaplarını tehlikeye atmak için daha karmaşık yöntemler geliştirmeye devam ettikçe, bireyler ve kuruluşlar uyanık kalmalı ve sağlam güvenlik önlemleri uygulamalıdır.
Bu, yazılımı güncel tutmayı, beklenmedik e-postaları veya bağlantılara dikkat etmeyi ve şüpheli etkinliklerin hesaplarını düzenli olarak izlemeyi içerir.
Güvenlik Araştırmacıları, LinkedIn'de iş teklifleri aracılığıyla yeni kötü amaçlı yazılımlarla hedef aldı
Redeyes hacker'ları Windows, telefonlardan veri çalmak için yeni kötü amaçlı yazılım kullanıyor
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Facebook hesapları yeni kötü niyetli chatgpt chrome uzantısı tarafından kaçırıldı
Fakealls Android kötü amaçlı yazılım, telefonlarda gizlenmenin yeni yollarıyla dönüyor
Kaynak: Bleeping Computer