Last Updated on 2024-06-29 16:40 by admin
北朝鮮に関連するサイバー攻撃グループ「Kimsuky」が、機密情報を盗むために「TRANSLATEXT」という新しい悪意のあるGoogle Chrome拡張機能を使用していることが明らかになった。
この活動は、2024年3月初旬にZscaler ThreatLabzによって観察され、拡張機能はメールアドレス、ユーザーネーム、パスワード、クッキー、ブラウザのスクリーンショットを収集する能力があると報告されている。攻撃キャンペーンは特に、北朝鮮の政治問題に焦点を当てた韓国の学術界を対象としていた。
Kimsukyは、2012年以降に活動していることが知られている北朝鮮のハッキンググループで、韓国を対象としたサイバー間諜活動や金銭的動機による攻撃を行っている。
このグループは、Lazarusクラスターの姉妹グループであり、偵察総局(RGB)の一部としてAPT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail、Velvet Chollimaとしても追跡されている。
最近、KimsukyはMicrosoft Officeの既知のセキュリティ欠陥(CVE-2017-11882)を悪用してキーロガーを配布し、航空宇宙および防衛セクターを狙った攻撃で、仕事関連の誘引を使用してデータ収集と二次ペイロード実行機能を持つスパイツールを配布している。
サイバーセキュリティ企業CyberArmorは、このキャンペーンに「Niki」という名前を付け、攻撃者が基本的な偵察を行い、追加のペイロードをドロップしてマシンを乗っ取るか遠隔で制御することを可能にするバックドアについて報告している。
攻撃の初期アクセス方法は現在不明だが、Kimsukyはスピアフィッシングとソーシャルエンジニアリング攻撃を利用して感染チェーンを活性化することで知られている。
攻撃の開始点は、韓国の軍事史に関するとされるZIPアーカイブで、これにはハングルワードプロセッサのドキュメントと実行可能ファイルが含まれている。
実行可能ファイルを起動すると、攻撃者制御下のサーバーからPowerShellスクリプトが取得され、これにより被害者に関する情報がGitHubリポジトリにエクスポートされ、Windowsショートカット(LNK)ファイルを介して追加のPowerShellコードがダウンロードされる。
Zscalerは、2024年2月13日に作成されたGitHubアカウントが「GoogleTranslate.crx」という名前でTRANSLATEXT拡張機能を一時的にホスティングしていたことを発見し、これらのファイルは2024年3月7日にリポジトリに存在し、翌日に削除されたことを示している。
これは、Kimsukyが特定の個人を対象にマルウェアを短期間使用し、露出を最小限に抑えることを意図していたことを示唆している。
TRANSLATEXTはGoogle Translateに偽装し、JavaScriptコードを使用してGoogle、Kakao、Naverなどのサービスのセキュリティ対策を回避し、メールアドレス、認証情報、クッキーを盗み取り、ブラウザのスクリーンショットをキャプチャし、盗まれたデータを外部に送信する。また、新しく開いたタブのスクリーンショットを撮影し、ブラウザからすべてのクッキーを削除するなどのコマンドをBlogger Blogspot URLから取得するように設計されている。
【編集者追記】用語解説
- Kimsuky(キムスキー):
北朝鮮の国家支援型ハッカーグループで、2012年頃から活動しています。主に韓国や日本などの東アジア地域を標的としたサイバースパイ活動を行っています。 - Chrome拡張機能:
Google Chromeブラウザの機能を拡張するためのプログラムです。正規の拡張機能は便利なツールですが、悪意のある拡張機能はユーザーの情報を盗むなどの危険があります。
【参考リンク】
Zscaler(ゼットスケーラー)オフィシャルサイト(外部)
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
北朝鮮に関連するサイバー攻撃グループである「Kimsuky」が、機密情報を盗むために「TRANSLATEXT」という新しい悪意のあるGoogle Chrome拡張機能を使用していることが、Zscaler ThreatLabzによって2024年3月初旬に観察されました。この拡張機能は、メールアドレス、ユーザーネーム、パスワード、クッキー、ブラウザのスクリーンショットを収集する能力があると報告されています。特に、北朝鮮の政治問題に焦点を当てた韓国の学術界が攻撃の対象とされています。
Kimsukyグループは、2012年以降に活動していることが知られており、韓国を対象としたサイバー間諜活動や金銭的動機による攻撃を行っています。このグループは、Lazarusクラスターの姉妹グループであり、偵察総局(RGB)の一部としても追跡されています。
この攻撃キャンペーンでは、Microsoft Officeの既知のセキュリティ欠陥を悪用したり、仕事関連の誘引を使用してデータ収集と二次ペイロード実行機能を持つスパイツールを配布するなど、複数の手法が用いられています。攻撃の初期アクセス方法は不明ですが、スピアフィッシングとソーシャルエンジニアリング攻撃を利用して感染チェーンを活性化することが知られています。
TRANSLATEXT拡張機能は、Google Translateに偽装しており、JavaScriptコードを使用してセキュリティ対策を回避し、機密情報を盗み出すことができます。このような攻撃手法は、被害者のプライバシー侵害や機密情報の漏洩につながり、組織や個人にとって重大なセキュリティリスクをもたらします。
このニュースは、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、政府機関や学術機関など、機密情報を扱う組織は、セキュリティ対策を強化し、不審な拡張機能やアプリケーションの使用を避けることが重要です。また、このような攻撃は、サイバーセキュリティの規制や政策に影響を与え、より厳格なセキュリティ基準の導入や国際的な協力の強化を促す可能性があります。
長期的には、サイバー攻撃の手法がますます巧妙化し、多様化する中で、サイバーセキュリティの技術や知識の進化が求められます。また、サイバー攻撃に対する意識の高揚と教育の普及が、個人や組織を守るための重要な鍵となるでしょう。
from Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data.
