Seorang aktor ancaman yang beroperasi dengan kepentingan yang selaras dengan Korea Utara telah menyebarkan ekstensi berbahaya di browser web berbasis Chromium yang mampu mencuri konten email dari Gmail dan AOL.
Perusahaan keamanan siber Volexity mengaitkan malware tersebut dengan kluster aktivitas yang disebutnya Lidah Tajamyang dikatakan berbagi tumpang tindih dengan kolektif permusuhan yang secara publik disebut dengan nama Kimsuky.
SharpTongue memiliki sejarah memilih individu yang bekerja untuk organisasi di AS, Eropa, dan Korea Selatan yang “bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menarik bagi Korea Utara,” peneliti Paul Rascagneres dan kata Thomas Lancaster.
Penggunaan ekstensi jahat oleh Kimsuky dalam serangan bukanlah hal baru. Pada tahun 2018, aktor tersebut melihat plugin Chrome sebagai bagian dari kampanye yang disebut Pensil yang Dicuri untuk menginfeksi korban dan mencuri cookie dan kata sandi browser.
Tetapi upaya spionase terbaru berbeda karena menggunakan ekstensi, bernama Sharpext, untuk menjarah data email. “Malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya,” catat para peneliti.
Browser yang ditargetkan termasuk browser Google Chrome, Microsoft Edge, dan Naver’s Whale, dengan malware pencuri surat yang dirancang untuk mengumpulkan informasi dari sesi Gmail dan AOL.
Pemasangan add-on dilakukan dengan cara mengganti file Preferences dan Secure Preferences browser dengan yang diterima dari server jauh setelah berhasil menembus sistem Windows target.
Langkah ini berhasil dengan mengaktifkan panel DevTools dalam tab aktif untuk mencuri email dan lampiran dari kotak surat pengguna, sekaligus mengambil langkah untuk menyembunyikan pesan peringatan tentang menjalankan ekstensi mode pengembang.
“Ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi,” kata para peneliti. “Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang.”
Temuan itu muncul beberapa bulan setelah aktor Kimsuky terhubung dengan intrusi terhadap institusi politik yang berlokasi di Rusia dan Korea Selatan untuk memberikan versi terbaru dari trojan akses jarak jauh yang dikenal sebagai Konni.
Pekan lalu, perusahaan keamanan siber Securonix mengakhiri kampanye serangan yang sedang berlangsung yang mengeksploitasi target bernilai tinggi, termasuk Republik Ceko, Polandia, dan negara-negara lain, sebagai bagian dari kampanye dengan nama kode STIFF#BIZON untuk mendistribusikan malware Konni.
Sementara taktik dan alat yang digunakan dalam penyusupan mengarah ke kelompok peretasan Korea Utara yang disebut APT37, bukti yang dikumpulkan berkaitan dengan infrastruktur serangan menunjukkan keterlibatan aktor APT28 (alias Fancy Bear atau Sofacy) yang bersekutu dengan Rusia.
“Pada akhirnya, apa yang membuat kasus ini menarik adalah penggunaan malware Konni dalam hubungannya dengan kemiripan tradecraft dengan APT28,” kata para peneliti, seraya menambahkan bahwa bisa jadi satu kelompok menyamar sebagai kelompok lain untuk membingungkan atribusi dan lolos dari deteksi. .