FPSpy Зловреден софтуер
Групи за заплахи, свързани със Северна Корея, са идентифицирани с помощта на два новоразработени инструмента, известни като KLogEXE и FPSpy. Тази дейност е свързана със заплашващ актьор, наричан Kimsuky, също разпознат под псевдоними като APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (бивш Thallium), Sparkling Pisces, Springtail и Velvet Chollima. Тези нови инструменти разширяват вече значителния набор от инструменти на Sparkling Pisces, отразявайки продължаващата еволюция и нарастващата изтънченост на групата.
Съдържание
Усъвършенстван актьор за заплахи, работещ повече от десетилетие
Активен поне от 2012 г., заплахата е наричан „кралят на фишинга“ заради способността си да подмами жертвите да изтеглят злонамерен софтуер, като изпраща имейли, които изглеждат така, сякаш са от доверени страни. Анализът на изследователите на инфраструктурата на Kimsuki разкри два нови преносими изпълними файла, наречени KLogEXE и FPSpy.
Известно е, че тези видове зловреден софтуер се доставят предимно чрез фишинг атаки. Въз основа на наличната информация изглежда, че злите оператори на тази кампания предпочитат атаки чрез социално инженерство под формата на фишинг имейли, изпратени до техните цели."
Тези внимателно изработени имейли имат език, предназначен да примами целите да изтеглят ZIP файл, прикачен към имейла. Целите често се насърчават да извличат повредени файлове, които при изпълнение извикват веригата на заразяване – в крайна сметка доставяйки тези видове зловреден софтуер.
FPSpy е оборудван с множество инвазивни възможности
Смята се, че FPSpy е вариант на задна вратичка, разкрита за първи път от AhnLab през 2022 г., показваща прилики със заплаха, документирана от Cybereason под името KGH_SPY в края на 2020 г. Отвъд keylogging, FPSpy е проектиран да събира подробности за системата, да изтегля и внедрява допълнителни полезни товари, изпълнява произволни команди и сканира устройства, папки и файлове в компрометираната система.
Междувременно KLogExe, друга новооткрита заплаха, е C++ адаптация на базиран на PowerShell кийлогър, наречен InfoKey, маркиран преди това от JPCERT/CC в кампания на Kimsuky, насочена към японски субекти. Този инструмент е оборудван за улавяне и ексфилтриране на данни за активни приложения, натискания на клавиши и движения на мишката на засегнатата машина.
Кампания за силно насочена атака
Експертите по киберсигурност са идентифицирали прилики в изходния код на KLogExe и FPSpy, което показва, че те вероятно са разработени от един и същ автор. Докато Kimsuky има история на насочване към различни региони и сектори, тази конкретна кампания изглежда фокусирана върху организации в Япония и Южна Корея.
Като се има предвид целенасоченият и селективен характер на тези операции, изследователите заключиха, че е малко вероятно кампанията да бъде широко разпространена. Вместо това изглежда ограничено до конкретни индустрии и основно до Япония и Южна Корея.
