ForceCopy Stealer
Den nordkoreanske hackergruppe Kimsuky er blevet fundet ved at bruge spear-phishing-angreb til at distribuere en nyligt identificeret informationstjælende malware kaldet forceCopy. Disse angreb begynder med phishing-e-mails, der indeholder en skjult Windows-genvejsfil (LNK), der er lavet til at fremstå som et Microsoft Office- eller PDF-dokument. Intetanende modtagere, der åbner filen ubevidst, sætter gang i en kædereaktion, der udfører ondsindede kommandoer.
Indholdsfortegnelse
Udnyttelse af legitime værktøjer til at levere truende nyttelast
Når brugeren interagerer med den skadelige vedhæftning, starter infektionsprocessen ved at udføre PowerShell eller 'mshta.exe', et legitimt Windows-værktøj, der bruges til at køre HTML Application (HTA) filer. Denne teknik gør det muligt for angriberne at hente og implementere yderligere malware-nyttelaster fra en ekstern kilde uden at vække mistanke.
Implementering af trojanske heste og fjernskrivebordsværktøjer
Angrebene resulterer i sidste ende i udrulning af kendte trusler, inklusive PEBBLEDASH -trojaneren og en modificeret version af RDP Wrapper, et open source-værktøj, der bruges til fjernadgang til skrivebordet. Sideløbende med disse introduceres proxy-malware for at sikre en kontinuerlig forbindelse mellem den kompromitterede enhed og angribernes eksterne netværk via Remote Desktop Protocol (RDP).
En Keylogger og forceCopy: Målretning af lagrede legitimationsoplysninger
Kimsuky er også blevet set bruge en PowerShell-baseret keylogger til at fange tastetryk, hvilket yderligere forbedrer deres evne til at stjæle følsom information. Derudover er den nyopdagede forceCopy-malware specielt designet til at udtrække filer, der er gemt i webbrowser-mapper. Dette antyder et forsøg på at omgå sikkerhedsrestriktioner og få direkte adgang til browserkonfigurationsfiler, hvor login-legitimationsoplysninger ofte er gemt.
Et strategisk skift: Brug af RDP til værtskontrol
Gruppens afhængighed af RDP Wrapper og proxy-malware fremhæver et taktisk skift i deres operationer. Tidligere brugte Kimsuky primært specialbyggede bagdøre til at kontrollere inficerede systemer. Nu, ved at udnytte bredt tilgængelige værktøjer, sigter de mod at bevare vedholdenhed og samtidig reducere chancerne for opdagelse.
APT43: En langvarig trussel om cyberspionage
Kimsuky, også kendt under aliaser som APT43, Black Banshee og Emerald Sleet, menes at operere under Nordkoreas Reconnaissance General Bureau (RGB), landets førende udenlandske efterretningstjeneste. Gruppen, som har været aktiv siden mindst 2012, har en lang historie med at udføre sofistikerede social engineering-angreb for at omgå e-mailsikkerhedsforsvar.
Udvidelse af driften med russisk-baserede phishing-kampagner
Nylige resultater tyder på, at Kimsuky har brugt phishing-e-mails sendt fra russiske e-mail-tjenester til at udføre legitimationstyverikampagner. Denne tilpasning, der blev observeret i december 2024, afspejler gruppens udviklende taktik, mens den fortsætter med at forfine sine sociale ingeniørteknikker for at målrette mod enkeltpersoner og organisationer af høj værdi.
