ForceCopy Stealer
Hackerská skupina Kimsuky napojená na Severní Koreu byla nalezena pomocí spear-phishingových útoků k distribuci nově identifikovaného malwaru pro krádeže informací s názvem forceCopy. Tyto útoky začínají phishingovými e-maily, které obsahují maskovaný soubor zkratky Windows (LNK), který vypadá jako dokument Microsoft Office nebo PDF. Nic netušící příjemci, kteří soubor nevědomky otevřou, spustí řetězovou reakci, která provede škodlivé příkazy.
Obsah
Využívání legitimních nástrojů k poskytování nebezpečného užitečného zatížení
Jakmile uživatel interaguje se škodlivou přílohou, proces infekce se spustí spuštěním prostředí PowerShell nebo „mshta.exe“, legitimního nástroje systému Windows, který se používá ke spouštění souborů aplikace HTML (HTA). Tato technika umožňuje útočníkům načíst a nasadit další užitečné zatížení malwaru z externího zdroje, aniž by vyvolalo podezření.
Nasazení trojských koní a nástrojů vzdálené plochy
Útoky nakonec vyústí v nasazení známých hrozeb, včetně trojského koně PEBBLEDASH a upravené verze RDP Wrapper, open-source nástroje používaného pro přístup ke vzdálené ploše. Kromě toho je zaveden proxy malware, který zajišťuje nepřetržité spojení mezi napadeným zařízením a externí sítí útočníků prostřednictvím protokolu RDP (Remote Desktop Protocol).
Keylogger a forceCopy: Cílení na uložená pověření
Kimsuky byl také viděn, jak používá keylogger založený na PowerShellu k zachycení úhozů, což dále zvyšuje jejich schopnost krást citlivé informace. Nově objevený malware forceCopy je navíc speciálně navržen k extrahování souborů uložených v adresářích webového prohlížeče. To naznačuje pokus obejít bezpečnostní omezení a přímo přistupovat ke konfiguračním souborům prohlížeče, kde jsou často uloženy přihlašovací údaje.
Strategický posun: Použití RDP pro řízení hostitele
Spolehlivost skupiny na RDP Wrapper a proxy malware zdůrazňuje taktický posun v jejich operacích. Dříve Kimsuky primárně používal na míru vytvořená zadní vrátka ke kontrole infikovaných systémů. Nyní, s využitím široce dostupných nástrojů, usilují o udržení stálosti a zároveň snižují šance na odhalení.
APT43: Dlouhodobá kybernetická špionážní hrozba
Kimsuky, známý také pod přezdívkami jako APT43, Black Banshee a Emerald Sleet, pravděpodobně působí pod severokorejským generálním úřadem pro průzkum (RGB), přední zahraniční zpravodajskou službou v zemi. Tato skupina, která je aktivní minimálně od roku 2012, má za sebou dlouhou historii provádění sofistikovaných útoků sociálního inženýrství, aby obešla obranu zabezpečení e-mailu.
Rozšíření operací pomocí phishingových kampaní založených na Rusku
Nedávná zjištění naznačují, že Kimsuky používá phishingové e-maily odeslané z ruských e-mailových služeb k provádění kampaní proti krádeži přihlašovacích údajů. Tato adaptace, pozorovaná v prosinci 2024, odráží vyvíjející se taktiku skupiny, jak pokračuje ve zdokonalování svých technik sociálního inženýrství tak, aby cílily na vysoce hodnotné jednotlivce a organizace.
