被追踪为 Kimsuky 的一个由朝鲜支持的威胁组织正在使用恶意浏览器扩展来窃取来自 Google Chrome 或 Microsoft Edge 用户的电子邮件,这些用户正在阅读他们的网络邮件。

这个扩展被 Volexity 研究人员称为 SHARPEXT,他们在 9 月发现了这个活动,支持三种基于 Chromium 的网络浏览器(Chrome、Edge 和 Whale),并且可以从 Gmail 和 AOL 帐户中窃取邮件。

攻击者在使用自定义 VBS 脚本破坏目标系统后安装恶意扩展,方法是将“首选项”和“安全首选项”文件替换为从恶意软件的命令和控制服务器下载的文件。

man-in-hood-typing.webp

在受感染的设备上下载新的首选项文件后,Web 浏览器会自动加载 SHARPEXT 扩展。

Volexity 周四表示:“恶意软件会在受害者浏览网页时直接检查并窃取他们的网络邮件帐户中的数据 。”

“自从发现以来,扩展已经发展,目前是 3.0 版,基于内部版本控制系统。”

正如 Volexity 今天进一步 透露 的那样,这次最新的活动与之前的 Kimsuky 攻击相一致,因为它还在美国、欧洲和韩国“对外交政策、核和其他具有战略利益的个人进行有针对性的攻击”部署 SHARPEXT。

SHARPEXT 工作流程(Volexity)

SHARPEXT 工作流程(Volexity)

隐蔽且高效的攻击

通过利用目标已经登录的会话来窃取电子邮件,受害者的电子邮件提供商仍然无法检测到攻击,因此即使不是不可能,检测也非常具有挑战性。

此外,扩展程序的工作流程不会触发受害者帐户上的任何可疑活动警报,从而确保不会通过检查网络邮件帐户状态页面的警报来发现恶意活动。

朝鲜威胁行为者可以使用 SHARPEXT 通过以下命令收集广泛的信息:

  • 列出以前从受害者那里收集的电子邮件,以确保不会上传重复的电子邮件。该列表会随着 SHARPEXT 的执行而不断更新。
  • 列出受害者之前与之通信的电子邮件域。该列表会随着 SHARPEXT 的执行而不断更新。
  • 收集从受害者那里收集电子邮件时应忽略的电子邮件发件人黑名单。
  • 将域添加到受害者查看的所有域的列表中。
  • 将新附件上传到远程服务器。
  • 将 Gmail 数据上传到远程服务器。
  • 被攻击者评论;接收要被泄露的附件列表。
  • 将 AOL 数据上传到远程服务器。

这不是朝鲜 APT 组织第一次使用浏览器扩展程序从目标被破坏的系统中收集和泄露机密数据。

正如 Netscout 的 ASERT 团队 在 2018 年 12 月所说 ,由 Kimsuky 精心策划的鱼叉式网络钓鱼活动至少从 2018 年 5 月开始推送恶意 Chrome 扩展程序,针对多所大学的大量学术实体进行攻击。

CISA 还针对该组织的策略、技术和程序 (TTP) 发布了 警报 ,强调该组织使用恶意浏览器扩展程序从受害者的 Web 浏览器中窃取凭据和 cookie。

Tags: none

我有个想法