Eine gemeinsame Cybersicherheitsempfehlung des deutschen Bundesamtes für Verfassungsschutz (BfV) und des National Intelligence Service of the Republic of Korea (NIS) warnt vor Kimsukys Verwendung von Chrome-Erweiterungen, um die Gmail-E-Mails des Ziels zu stehlen.
Kimsuky (alias Thallium, Velvet Chollima) ist eine nordkoreanische Bedrohungsgruppe, die Spear-Phishing einsetzt, um Cyberspionage gegen Diplomaten, Journalisten, Regierungsbehörden, Universitätsprofessoren und Politiker durchzuführen. Ursprünglich auf Ziele in Südkorea konzentriert, dehnten die Bedrohungsakteure ihre Operationen im Laufe der Zeit auf Einheiten in den USA und Europa aus.
Der gemeinsame Sicherheitsberatung wurde veröffentlicht, um vor zwei Angriffsmethoden zu warnen, die von der Hacking-Gruppe verwendet werden – eine bösartige Chrome-Erweiterung und Android-Anwendungen.
Während die aktuelle Kampagne auf Menschen in Südkorea abzielt, können die von Kimsuky verwendeten Techniken weltweit angewendet werden, daher ist die Sensibilisierung von entscheidender Bedeutung.
Gmail-E-Mails stehlen
Der Angriff beginnt mit einer Spear-Phishing-E-Mail, in der das Opfer aufgefordert wird, eine schädliche Chrome-Erweiterung zu installieren, die auch in Chromium-basierten Browsern wie Microsoft Edge oder Brave installiert wird.
Die Erweiterung heißt „AF“ und ist in der Erweiterungsliste nur zu sehen, wenn der Benutzer „(chrome|edge|brave)://extensions“ in die Adressleiste des Browsers eingibt.
Sobald das Opfer Gmail über den infizierten Browser besucht, wird die Erweiterung automatisch aktiviert, um den E-Mail-Inhalt des Opfers abzufangen und zu stehlen.
Die Erweiterung missbraucht die Devtools-API (Entwicklertools-API) im Browser, um die gestohlenen Daten an den Relay-Server des Angreifers zu senden und heimlich ihre E-Mails zu stehlen, ohne den Sicherheitsschutz des Kontos zu brechen oder zu umgehen.
Dies ist nicht das erste Mal, dass Kimsuky schädliche Chrome-Erweiterungen verwendet, um E-Mails von angegriffenen Systemen zu stehlen.
Im Juli 2022 berichtete Volexity über eine ähnliche Kampagne mit einer Erweiterung namens „SHARPEXT“. Im Dezember 2018 hat Netscout gemeldet dass Kimsuky die gleiche Taktik gegen akademische Ziele verfolgte.
Diesmal sind die Hashes der schädlichen Dateien, die Kimsuky bei seinen neuesten Angriffen verwendet, wie folgt:
- 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
- 582A033DA897C967FAADE386AC30F604 (bg.js)
- 51527624E7921A8157F820EB0CA78E29 (dev.js)
Android-Malware
Die von Kimsuky verwendete Android-Malware heißt „FastViewer“, „Fastfire“ oder „Fastspy DEX“, und das war sie auch bekannt seit Oktober 2022wenn es sich als Sicherheits-Plug-In oder Dokument-Viewer tarnte.
Allerdings koreanische Cybersicherheitsfirma AhnLab, berichtet dass die Bedrohungsakteure FastViewer im Dezember 2022 aktualisierten, sodass sie die Malware weiter verwendeten, nachdem ihre Hashes öffentlich gemeldet wurden.
Der Angriff entfaltet sich, indem Kimsuky sich in das Google-Konto des Opfers einloggt, das sie zuvor durch Phishing-E-Mails oder auf andere Weise gestohlen haben.
Als nächstes missbrauchen die Hacker die Web-to-Phone-Synchronisierungsfunktion von Google Play, die es Benutzern ermöglicht, Apps auf ihren verknüpften Geräten von ihrem Computer (Play Store-Website) zu installieren, um die Malware zu installieren.
Die bösartige App, die die Angreifer Google Play auffordern, auf dem Gerät des Opfers zu installieren, wird auf der Entwicklerseite der Google Play-Konsole für „nur interne Tests“ eingereicht, und das Gerät des Opfers wird angeblich als Testziel hinzugefügt.
Diese Technik würde bei groß angelegten Infektionen nicht funktionieren, aber sie ist außergewöhnlich und ziemlich heimlich, wenn es um enge Zieloperationen wie die von Kimsuky geht.
Die Android-Malware ist ein RAT-Tool (Remote Access Trojan), mit dem Hacker Dateien ablegen, erstellen, löschen oder stehlen, Kontaktlisten abrufen, Anrufe tätigen, SMS überwachen oder senden, die Kamera aktivieren, Keylogging durchführen und den Desktop anzeigen können.
Während Kimsuky seine Taktiken weiter entwickelt und ausgeklügeltere Methoden entwickelt, um Gmail-Konten zu kompromittieren, müssen Einzelpersonen und Organisationen wachsam bleiben und robuste Sicherheitsmaßnahmen implementieren.
Dazu gehört, die Software auf dem neuesten Stand zu halten, bei unerwarteten E-Mails oder Links vorsichtig zu sein und Konten regelmäßig auf verdächtige Aktivitäten zu überwachen.
