برنامج FPSpy الخبيث
تم تحديد مجموعات التهديد المرتبطة بكوريا الشمالية باستخدام أداتين تم تطويرهما حديثًا تُعرفان باسم KLogEXE وFPSpy. وقد تم ربط هذا النشاط بجهة تهديد تُعرف باسم Kimsuky، والمعروفة أيضًا بأسماء مستعارة مثل APT43 وARCHIPELAGO وBlack Banshee وEmerald Sleet (المعروفة سابقًا باسم Thallium) وSparkling Pisces وSpringtail وVelvet Chollima. تعمل هذه الأدوات الجديدة على توسيع مجموعة أدوات Sparkling Pisces الكبيرة بالفعل، مما يعكس التطور المستمر للمجموعة وتطورها المتزايد.
جدول المحتويات
جهة تهديد متطورة تعمل منذ أكثر من عقد من الزمان
نشط هذا البرنامج منذ عام 2012 على الأقل، وقد أطلق عليه لقب "ملك التصيد الاحتيالي بالرمح" لقدرته على خداع الضحايا وحملهم على تنزيل البرامج الضارة من خلال إرسال رسائل بريد إلكتروني تجعلهم يبدون وكأنهم من أطراف موثوقة. وقد كشف تحليل الباحثين للبنية الأساسية لبرنامج Kimsuki عن ملفين قابلين للتنفيذ جديدين يُشار إليهما باسم KLogEXE وFPSpy.
من المعروف أن هذه الأنواع من البرامج الضارة يتم إرسالها في المقام الأول عبر هجمات التصيد الاحتيالي. واستنادًا إلى المعلومات المتاحة، يبدو أن مشغلي هذه الحملة الشريرة يفضلون هجمات الهندسة الاجتماعية في شكل رسائل بريد إلكتروني تصيدية يتم إرسالها إلى أهدافهم.
تحتوي رسائل البريد الإلكتروني هذه المصممة بعناية على لغة مصممة لإغراء الأهداف بتنزيل ملف ZIP مرفق بالبريد الإلكتروني. غالبًا ما يتم تشجيع الأهداف على استخراج الملفات الفاسدة، والتي عند تنفيذها تستدعي سلسلة العدوى - مما يؤدي في النهاية إلى تسليم سلالات البرامج الضارة هذه.
تم تجهيز FPSpy بالعديد من القدرات التطفلية
يُعتقد أن FPSpy هو أحد أشكال البرامج الخبيثة التي تم الكشف عنها لأول مرة بواسطة AhnLab في عام 2022، والتي تظهر أوجه تشابه مع التهديد الذي وثقته Cybereason تحت اسم KGH_SPY في أواخر عام 2020. بالإضافة إلى تسجيل المفاتيح، تم تصميم FPSpy لجمع تفاصيل النظام وتنزيل ونشر حمولات إضافية وتنفيذ أوامر عشوائية ومسح محركات الأقراص والمجلدات والملفات على النظام المخترق.
وفي الوقت نفسه، يعد KLogExe، وهو تهديد جديد آخر تم تحديده، نسخة معدلة بلغة C++ من برنامج تسجيل المفاتيح المستند إلى PowerShell والذي يسمى InfoKey، والذي سبق أن تم رصده من قبل بواسطة JPCERT/CC في حملة Kimsuky التي تستهدف الكيانات اليابانية. تم تجهيز هذه الأداة لالتقاط واستخراج البيانات حول التطبيقات النشطة وضربات المفاتيح وحركات الماوس على الجهاز المتأثر.
حملة هجومية مستهدفة للغاية
وقد حدد خبراء الأمن السيبراني أوجه تشابه في الكود المصدر لكل من KLogExe وFPSpy، مما يشير إلى أنه من المرجح أن يكونا من تطوير نفس المؤلف. وفي حين أن Kimsuky لديه تاريخ في استهداف مناطق وقطاعات مختلفة، إلا أن هذه الحملة على وجه الخصوص تبدو مركزة على المنظمات في اليابان وكوريا الجنوبية.
ونظراً للطبيعة المستهدفة والانتقائية لهذه العمليات، فقد خلص الباحثون إلى أن الحملة من غير المرجح أن تنتشر على نطاق واسع. بل يبدو أنها تقتصر على صناعات محددة وتقتصر في المقام الأول على اليابان وكوريا الجنوبية.
