ForceCopy крадец
Беше установено, че свързаната със Северна Корея хакерска група Kimsuky използва фишинг атаки за разпространение на новоидентифициран зловреден софтуер за кражба на информация, наречен forceCopy. Тези атаки започват с фишинг имейли, които съдържат скрит Windows пряк път (LNK) файл, направен да изглежда като Microsoft Office или PDF документ. Нищо неподозиращите получатели, които отварят файла несъзнателно, предизвикват верижна реакция, която изпълнява злонамерени команди.
Съдържание
Използване на легитимни инструменти за доставяне на заплашителни полезни товари
След като потребителят взаимодейства с вредния прикачен файл, процесът на заразяване започва чрез изпълнение на PowerShell или „mshta.exe“, легитимна помощна програма на Windows, използвана за стартиране на файлове с HTML приложения (HTA). Тази техника позволява на нападателите да извличат и разгръщат допълнителен полезен товар от злонамерен софтуер от външен източник, без да предизвикват подозрение.
Внедряване на троянски коне и инструменти за отдалечен работен плот
Атаките в крайна сметка водят до внедряването на известни заплахи, включително троянския кон PEBBLEDASH и модифицирана версия на RDP Wrapper, инструмент с отворен код, използван за достъп до отдалечен работен плот. Наред с тях се въвежда прокси зловреден софтуер, за да се осигури непрекъсната връзка между компрометираното устройство и външната мрежа на нападателите чрез протокол за отдалечен работен плот (RDP).
Keylogger и forceCopy: Насочване към съхранени идентификационни данни
Kimsuky също е видян да използва базиран на PowerShell keylogger за улавяне на натискания на клавиши, което допълнително подобрява способността им да крадат чувствителна информация. Освен това, новооткритият зловреден софтуер forceCopy е специално проектиран да извлича файлове, съхранявани в директории на уеб браузър. Това предполага опит за заобикаляне на ограниченията за сигурност и директен достъп до конфигурационните файлове на браузъра, където често се съхраняват идентификационните данни за вход.
Стратегическа промяна: Използване на RDP за контрол на хоста
Разчитането на групата на RDP Wrapper и прокси зловреден софтуер подчертава тактическа промяна в техните операции. Преди това Kimsuky използва предимно специално създадени задни врати за контрол на заразени системи. Сега, като използват широко достъпни инструменти, те се стремят да поддържат постоянство, като същевременно намаляват шансовете за откриване.
APT43: Дългогодишна заплаха от кибершпионаж
Смята се, че Kimsuky, известен също с псевдоними като APT43, Black Banshee и Emerald Sleet, действа под ръководството на Главното разузнавателно бюро на Северна Корея (RGB), водещата служба за външно разузнаване на страната. Активна най-малко от 2012 г., групата има дълга история на изпълнение на сложни атаки със социално инженерство, за да заобиколи защитата на имейлите.
Разширяване на операциите с базирани в Русия фишинг кампании
Последните констатации показват, че Kimsuky е използвал фишинг имейли, изпратени от руски имейл услуги, за да извършва кампании за кражба на идентификационни данни. Тази адаптация, наблюдавана през декември 2024 г., отразява развиващите се тактики на групата, тъй като тя продължава да усъвършенства своите техники за социално инженерство, за да се насочи към високоценни лица и организации.
