朝鲜黑客利用恶意浏览器扩展对电子邮件帐户进行间谍活动

一个与朝鲜利益相关的威胁行为体一直在基于Chromium的网络浏览器上部署恶意扩展，能够窃取Gmail和AOL的电子邮件内容。

网络安全公司Volexity将该恶意软件归因于它所称的一个活动集群锋利的舌头据说，它与公开称为Kimsuky的敌对集体有重叠。

研究人员Paul Rascagneres和Thomas Lancaster说，Sharp舌头有一段历史，就是挑选在美国、欧洲和韩国的组织中工作的个人，他们“从事涉及朝鲜、核问题、武器系统和朝鲜战略利益的其他问题的工作”。

Kimsuky在攻击中使用流氓扩展并不是什么新鲜事。2018年，有人看到这位演员利用一个Chrome插件作为一场名为“偷铅笔”的活动的一部分，感染受害者并窃取浏览器cookie和密码。

但最新的间谍活动有所不同，它使用名为Sharpext的扩展来掠夺电子邮件数据。研究人员指出：“恶意软件在浏览受害者的网络邮件账户时，会直接检查并过滤其中的数据”。

目标浏览器包括Google Chrome、Microsoft Edge和Naver's Whale浏览器，其中包含邮件盗窃恶意软件，旨在从Gmail和AOL会话中获取信息。

在成功破坏目标Windows系统后，通过将浏览器的首选项和安全首选项文件替换为从远程服务器接收的文件来完成加载项的安装。

通过启用活动选项卡中的DevTools面板从用户邮箱中窃取电子邮件和附件，同时采取步骤隐藏有关运行开发模式扩展的任何警告消息，可以成功完成此步骤。

Volexity称此次活动“相当成功”，称攻击者有能力“通过部署恶意软件从多个受害者那里窃取数千封电子邮件”

研究人员说：“这是Volexity首次观察到恶意浏览器扩展被用作攻击后阶段的一部分”。“通过在用户已登录会话的上下文中窃取电子邮件数据，可以对电子邮件提供商隐藏攻击，使检测非常困难。”

几个月前，Kimsuky演员涉嫌入侵俄罗斯和韩国的政治机构，以提供称为Konni的远程访问特洛伊木马的更新版本。

上周，网络安全公司Securonix揭开了一场正在进行的攻击活动的序幕，该攻击活动利用了包括捷克共和国、波兰和其他国家在内的高价值目标，作为代号为STIFF#BIZON的活动的一部分，以分发Konni恶意软件。

虽然入侵中使用的战术和工具指向一个名为APT37的朝鲜黑客组织，但收集到的与攻击基础设施有关的证据表明，与俄罗斯结盟的APT28（又称花式熊或索法西）参与者参与了攻击。

研究人员说：“最后，这起特殊案件的有趣之处在于，Konni恶意软件的使用与tradecraft与APT28的相似之处，”并补充说，这可能是一个群体伪装成另一个群体，以混淆归因和逃避检测。