حذرت وكالات حكومية ألمانية وكورية جنوبية من الهجمات الإلكترونية التي شنتها جهة تهديد تم تعقبها على أنها Kimsuky تستخدم امتدادات متصفح خادعة لسرقة صناديق بريد Gmail الخاصة بالمستخدمين.
يأتي الاستشارة المشتركة من جهاز المخابرات الداخلية الألماني ، والمكتب الفيدرالي لحماية الدستور (BfV) ، وجهاز المخابرات الوطني لجمهورية كوريا (NIS) في كوريا الجنوبية.
وأشارت الوكالات إلى أن عمليات الاقتحام تهدف إلى ضرب "الخبراء في قضايا شبه الجزيرة الكورية وكوريا الشمالية" من خلال حملات التصيد بالرمح.
يشير Kimsuky ، المعروف أيضًا باسم Black Banshee و Thallium و Velvet Chollima ، إلى عنصر تابع داخل المكتب العام للاستطلاع في كوريا الشمالية ومعروف عنه "جمع معلومات استخبارية إستراتيجية حول الأحداث والمفاوضات الجيوسياسية التي تؤثر على مصالح كوريا الديمقراطية".
تشمل الأهداف الأساسية محل الاهتمام الكيانات في الولايات المتحدة وكوريا الجنوبية ، ولا سيما الأفراد الذين يعملون في الحكومة والجيش والتصنيع والأكاديمية والمؤسسات الفكرية.
كشفت شركة Mandiant لاستخبارات التهديدات المملوكة لشركة Google العام الماضي أن "أنشطة ممثل التهديد هذا تشمل جمع البيانات المالية والشخصية وبيانات العملاء على وجه التحديد من الصناعات الأكاديمية والتصنيعية والأمن القومي في كوريا الجنوبية" .
تشير الهجمات الأخيرة التي دبرتها المجموعة إلى توسيع نشاطها السيبراني ليشمل سلالات البرامج الضارة لنظام Android مثل FastFire و FastSpy و FastViewer و RambleOn .
استخدام ملحقات المستعرض المستندة إلى Chromium لأغراض التجسس الإلكتروني ليس جديدًا على Kimsuky ، التي استخدمت سابقًا تقنيات مماثلة كجزء من الحملات التي تم تتبعها مثل Stolen Pencil و SharpTongue .
تتداخل عملية SharpTongue أيضًا مع أحدث الجهود من حيث أن الأخير قادر أيضًا على سرقة محتوى البريد الإلكتروني للضحية باستخدام الوظيفة الإضافية المارقة ، والتي بدورها تعزز واجهة برمجة تطبيقات DevTools للمتصفح لأداء الوظيفة.
ولكن في تصعيد لهجمات Kimsuky على الهاتف المحمول ، لوحظ أن ممثل التهديد يسجل الدخول إلى حسابات الضحايا على Google باستخدام بيانات اعتماد تم الحصول عليها مسبقًا من خلال تكتيكات التصيد ثم تثبيت تطبيق ضار على الأجهزة المرتبطة بالحسابات.
وأوضحت الوكالات أن "المهاجم يسجل الدخول بحساب الضحية على Google على جهاز الكمبيوتر ، ويدخل إلى متجر Google Play ، ويطلب تثبيت تطبيق ضار". "في هذا الوقت ، يتم تحديد الهاتف الذكي للهدف المرتبط بحساب Google كجهاز لتثبيت التطبيق الضار عليه."
يُشتبه في أن التطبيقات ، التي تتضمن FastFire و FastViewer ، يتم توزيعها باستخدام ميزة Google Play المعروفة باسم " الاختبار الداخلي " والتي تسمح لمطوري الطرف الثالث بتوزيع تطبيقاتهم على "مجموعة صغيرة من المختبرين الموثوق بهم".
تجدر الإشارة هنا إلى أن اختبارات التطبيق الداخلية هذه ، والتي يتم إجراؤها قبل إطلاق التطبيق للإنتاج ، لا يمكن أن تتجاوز 100 مستخدم لكل تطبيق ، مما يشير إلى أن الحملة مستهدفة للغاية بطبيعتها.
يأتي كلا التطبيقين المرتبطين بالبرامج الضارة بإمكانيات حصاد مجموعة واسعة من المعلومات الحساسة عن طريق إساءة استخدام خدمات إمكانية الوصول في Android. أسماء حزم APK للتطبيقات مذكورة أدناه
- com.viewer.fastsecure (FastFire)
- com.tf.thinkdroid.secviewer (FastViewer)
يأتي هذا الكشف في الوقت الذي تم فيه ربط ممثل التهديد المستمر الكوري الشمالي (APT) الذي يطلق عليه اسم ScarCruft بموجهات هجوم مختلفة يتم استخدامها لتقديم أبواب خلفية تستند إلى PowerShell إلى مضيفين معرضين للخطر.