前情提要
Volexity 資安團隊近日追蹤到了一個來自北韓的資料竊取惡意攻擊軟體- SharpText。 Volexity 認為 SharpText 是由來自於北韓的惡意攻擊團隊- SharpTongue,又名 Kimsuky。其主要攻擊對象包括:美國、歐洲、南韓等國家中,涉及與北韓、核子武器、武力系統等議題相關的組織或是個人。
在2021年以前,資安領域對於 SharpTongue 攻擊手法具有一定的了解;然而,2021年9月開始, SharpTongue 便發展出了一個未經記錄,借助瀏覽器的惡意外掛軟體- SharpText:不同於以前 SharpTongue 常見的攻擊手法, SharpText 不會存取使用者登入信箱時的帳號和密碼,而是在使用者登入帳號之後,隱藏在受害者的信箱程式碼中,對於使用者的信件與 AOL 進行監控。
攻擊細節
目前SharpText 已經更新到 3.0 版本,適用於 Chrome, Microsoft Edge 和 Naver Whale 三種以 Chromium 引擎為基礎的瀏覽器。
利用攻擊者自行開放的 VBS (Visual Basic Script) 手稿語言手動安裝外掛程式和檔案:
The malicious browser extension files
Browser configuration files
Additional scripts (pow.ps1 and dev.ps1) to ensure the extension is loaded
執行程式檔案
其中,pow.ps1 會改變受害者的隱私與安全性設定,此檔案會在資源加載與偏好設定文件不相符時被啟用。正常運作時,Chrome 系統內建的 hmac 檔案會阻斷攻擊者對使用者的隱私與安全性設定進行變更。因此,SharpText 會取得使用 者的以下資訊:(1) 瀏覽器的resources.pak檔案副本 (2) 使用者的S-ID值 (3) 原始的隱私與安全性設檔案,以對於設定進行變更。
一旦駭客對受害者的隱私與安全性設定進行變更,瀏覽器會自動加載惡意的外掛程式到瀏覽器內的“%APPDATA%\Roaming\AF” 資料夾路徑中。
由於此惡意外掛程式的啟用會需要得到開發工具 (DevTools) 的許可。因此除了pow.ps1 之外 dev.ps1 程式會協助啟動瀏覽器中的 DevTools。DevTools 原是一個無限的迴圈,用於檢查各個分頁標題中的關鍵詞;dev.ps1 程式會在分頁原有的標題中插入特定關鍵字,並讓程式在偵測到此關鍵字時發送 keystroke- Control+Shift+J,將 DevTools 開啟,使意的外掛程式得以執行。
除了對於受害者的信件與 AOL 內容進行監看之外,SharpText 也會阻擋安全提示訊息,讓用戶覺察不到自己的活動記錄正受到惡意的監測。
參考資料
SharpTongue Deploys clever mail-stealing browser extension "sharptext" , volexity (28 July 2022)- https://www.volexity.com/blog/2022/07/28/sharptongue-deploys-clever-mail-stealing-browser-extension-sharpext/
North Korean Hackers Use Browser Extension to Spy on Gmail and AOL Accounts, infosecurity (1 Aug 2022)- https://www.infosecurity-magazine.com/news/north-korean-hackers-use-browser/
North Korean Hackers Using Malicious Browser Extension to Spy on Email Accounts, the Hacker News (29 July 2022)- https://thehackernews.com/2022/07/north-korean-hackers-using-malicious.html