FPSpy malware
Skupiny hrozeb spojené se Severní Koreou byly identifikovány pomocí dvou nově vyvinutých nástrojů známých jako KLogEXE a FPSpy. Tato aktivita byla spojena s aktérem hrozby označovaným jako Kimsuky, který je také znám pod přezdívkami jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dříve Thallium), Sparkling Pisces, Springtail a Velvet Chollima. Tyto nové nástroje rozšiřují již tak značnou sadu nástrojů Sparkling Pisces a odrážejí pokračující vývoj a rostoucí sofistikovanost skupiny.
Obsah
Sofistikovaný hrozba působící více než deset let
Aktivní minimálně od roku 2012 je hrozba nazývána „králem kopí phishingu“ pro svou schopnost přimět oběti ke stažení malwaru odesíláním e-mailů, které působí, jako by pocházely od důvěryhodných stran. Analýza výzkumných pracovníků Kimsukiho infrastruktury odhalila dva nové přenosné spustitelné soubory označované jako KLogEXE a FPSpy.
Je známo, že tyto kmeny malwaru jsou dodávány především prostřednictvím útoků typu spear-phishing. Na základě dostupných informací se zdá, že zlí operátoři této kampaně upřednostňují útoky sociálního inženýrství ve formě spear-phishingových e-mailů zasílaných jejich cílům.“
Tyto pečlivě vytvořené e-maily mají jazyk navržený tak, aby nalákal cíle ke stažení souboru ZIP připojeného k e-mailu. Cíle jsou často vybízeny k extrahování poškozených souborů, které po spuštění vyvolají infekční řetězec – případně doručí tyto kmeny malwaru.
FPSpy je vybavena četnými invazivními schopnostmi
Předpokládá se, že FPSpy je variantou zadních vrátek poprvé odhalených AhnLab v roce 2022 a vykazuje podobnosti s hrozbou zdokumentovanou společností Cybereason pod názvem KGH_SPY na konci roku 2020. Kromě keyloggingu je FPSpy navržena tak, aby shromažďovala podrobnosti o systému, stahovala a nasazovala další užitečné zatížení, provádět libovolné příkazy a skenovat disky, složky a soubory v napadeném systému.
Mezitím KLogExe, další nově identifikovaná hrozba, je adaptací C++ keyloggeru založeného na PowerShellu s názvem InfoKey, který dříve označil JPCERT/CC v kampani Kimsuky zaměřené na japonské subjekty. Tento nástroj je vybaven k zachycení a exfiltraci dat o aktivních aplikacích, stisknutých klávesách a pohybech myši na postiženém počítači.
Vysoce cílená útočná kampaň
Odborníci na kybernetickou bezpečnost identifikovali podobnosti ve zdrojovém kódu KLogExe i FPSpy, což naznačuje, že jsou pravděpodobně vyvinuty stejným autorem. Zatímco Kimsuky má za sebou historii cílení na různé regiony a sektory, zdá se, že tato konkrétní kampaň se zaměřuje na organizace v Japonsku a Jižní Koreji.
Vzhledem k cílené a selektivní povaze těchto operací došli vědci k závěru, že kampaň pravděpodobně nebude rozšířená. Místo toho se zdá, že je omezena na konkrétní průmyslová odvětví a omezena především na Japonsko a Jižní Koreu.
