Групата за кибершпионаж използва разширение за Chrome, за да заразява жертвите

  • Oct 17, 2023

Предполагаемият севернокорейски APT използва разширение на Google Chrome, за да зарази жертви в академичния сектор.

В това, което изглежда е първото на сцената на кибершпионажа, хакерска група, подкрепяна от националната държава, използва разширение на Google Chrome, за да зарази жертвите и да открадне пароли и бисквитки от тях браузъри.

Това е първият път, когато APT (Advanced Persistent Threat – индустриален термин за национални хакерски групи) е видян (ab) с помощта на Chrome разширение, въпреки че това не е първият път, когато се използва разширение за браузър, тъй като свързаната с Русия Turla APT преди това използваше добавка за Firefox в 2015 [1, 2].

Според а отчет който ще бъде публикуван по-късно днес от екипа на ASERT в Netscout, разкрива подробности за кампания за фишинг, която прокарва злонамерено разширение за Chrome поне от май 2018 г.

Хакерите използваха фишинг имейли, за да примамят жертвите към уебсайтове, копирани от законни академични организации. Тези фишинг сайтове, които сега не работят, показаха доброкачествен PDF документ, но не позволиха на потребителите да го видят, пренасочвайки жертви към официалната страница на уеб магазина на Chrome, за да инсталирате (вече премахнато) разширение за Chrome, наречено Auto Font Управител.

Изображение: г-н J0hn D0ugh

Изследователите на Netscout казват, че разширението има способността да краде както бисквитки, така и пароли за сайтове, но също така са видели препращане на имейли на някои компрометирани акаунти.

Говорейки пред ZDNet, изследователите на Netscout казаха, че кампаниите за фишинг, използващи това разширение за Chrome, са насочени към академичния сектор, но все още не искат да разкрият имената на жертвите.

„Идентифицирахме три университета, базирани в Съединените щати, и една институция с нестопанска цел, базирана в Азия, [за които] със сигурност сме били насочени“, казаха ни изследователи.

„Голям брой от жертвите в множество университети са имали опит в биомедицинското инженерство, вероятно предполага мотивация за насочването на нападателите“, добавиха изследователите отделно в своя отчет.

Сигурност

  • 8 навика на много сигурни дистанционни работници
  • Как да намерите и премахнете шпионски софтуер от телефона си
  • Най-добрите VPN услуги: Как се сравняват топ 5?
  • Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това

Но докато разглеждаха тези скорошни атаки, изследователите откриха също, че същата инфраструктура, която хостваше тези фишинг сайтове, също използван преди това в друга хакерска кампания, която разчиташе на проникване в мрежите на университетите чрез връзки с отдалечен работен плот (RDP) връзки.

Netscout каза на ZDNet, че "двете отделни нишки на дейност имат споделена инфраструктура и припокриващи се жертви, но не е ясно кое е първо."

Разследващите също така добавиха, че хората зад тази неотдавнашна кампания, която Netscout нарече Stolen Pencil, са били много небрежни, когато е трябвало да скрият следите си. Изследователите казаха, че са открили доказателства, които предполагат, че групата може да е базирана в Северна Корея.

„Лошата OPSEC доведе до това, че потребителите намират отворени уеб браузъри на корейски, отворени преводачи от английски на корейски и клавиатури, превключени към корейски езикови настройки“, казаха изследователи.

Но въпреки че изследователите на Netscout не искаха да свържат тази кампания с конкретен севернокорейски APT (Advanced Persistent Threat – индустриален термин за национални хакерски групи), множество източници от индустрията, на които ZDNet показа вчера хешовете на файла за разширение на Chrome, ни насочиха към група за кибершпионаж познат като Кимсуки (известен също като Velvet Chollima).

Kaspersky Lab от 2013 г отчет представи доказателства, свързващи групата с режима на Северна Корея. Същият доклад също описва подробно склонността на Кимсуки да преследва академични цели, същите, към които е насочена и тази последна кампания.

Що се отнася до това, което преследват хакерите, изследователите на Netscout казаха на ZDNet, че „не са видели доказателства за кражба на данни, но като всяко проникване, не можем напълно да отхвърлим възможността. Нито един от инструментите или командите не беше специално насочен към кражба на информация - те бяха фокусирани върху кражба на идентификационни данни и поддържане на достъп."

Университетите винаги са били привлекателна мишена за хакери от национални държави, особено тези, които търсят частна информация или непубликувани изследвания. Докато както китайските, така и руските държавни хакери са известни с това, че преследват академичния сектор редовно, иранските хакери са най-активните от групата.

По-рано тази година през март, САЩ обвиниха 10 иранци за хакове срещу 320 университета в 22 държави, 144 от които в САЩ. Някои от научните статии, откраднати от хакерите, в крайна сметка бяха публикувани онлайн на платени портали за достъп, управлявани от някои обвинените хакери, които очевидно са намерили начин да генерират странични печалби от тяхното ежедневно спонсорирано от държавата хакване кампании. Обвиненията не спря иранските хакери от атаките им обаче.

Повече покритие за сигурност:

  • Чехия обвинява Русия за множество хакове на правителствена мрежа
  • Украинската полиция арестува хакер, който е заразил над 2000 потребители с DarkComet RAT
  • Нова кампания за индустриален шпионаж използва зловреден софтуер, базиран на AutoCAD
  • Протоколът CoAP е следващото голямо нещо за DDoS атаките
  • Атаката с ransomware на Atlanta удари системи с критично значение за мисията CNET
  • ФБР разбива гигантска схема за рекламни измами, действаща на над един милион IP адреси
  • Хакери отварят SMB портове на рутери, за да могат да заразят персонални компютри със зловреден софтуер на NSA
  • Банковите троянски коне, а не ransomware, са най-голямата заплаха сега TechRepublic