FPSpy Malware
Trusselsgrupper knyttet til Nordkorea er blevet identificeret ved hjælp af to nyudviklede værktøjer kendt som KLogEXE og FPSpy. Denne aktivitet er blevet forbundet med en trusselsaktør kaldet Kimsuky, også anerkendt under aliaser som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), Sparkling Pisces, Springtail og Velvet Chollima. Disse friske værktøjer udvider det allerede betydelige værktøjssæt af Sparkling Pisces, hvilket afspejler gruppens igangværende udvikling og voksende sofistikering.
Indholdsfortegnelse
En sofistikeret trusselskuespiller, der har opereret i over et årti
Trusselsaktøren, som har været aktiv siden mindst 2012, er blevet kaldt 'kongen af spyd-phishing' for sin evne til at narre ofre til at downloade malware ved at sende e-mails, der får det til at se ud som om de er fra betroede parter. Forskeres analyse af Kimsukis infrastruktur har afsløret to nye bærbare eksekverbare filer kaldet KLogEXE og FPSpy.
Disse malware-stammer er kendt for at blive leveret primært via spear-phishing-angreb. Baseret på den tilgængelige information ser det ud til, at de onde operatører af denne kampagne favoriserer sociale ingeniørangreb i form af spear-phishing-e-mails sendt til deres mål."
Disse omhyggeligt udformede e-mails har et sprog designet til at lokke målene til at downloade en ZIP-fil vedhæftet e-mailen. Målene opfordres ofte til at udtrække korrupte filer, som ved udførelse påkalder infektionskæden - til sidst leverer disse malware-stammer.
FPSpy er udstyret med adskillige invasive muligheder
FPSpy menes at være en variant af en bagdør, der først blev afsløret af AhnLab i 2022, og som viser ligheder med en trussel dokumenteret af Cybereason under navnet KGH_SPY i slutningen af 2020. Udover keylogging er FPSpy designet til at indsamle systemdetaljer, downloade og implementere yderligere nyttelaster, udføre vilkårlige kommandoer og scanne drev, mapper og filer på det kompromitterede system.
I mellemtiden er KLogExe, en anden nyligt identificeret trussel, en C++-tilpasning af en PowerShell-baseret keylogger kaldet InfoKey, tidligere markeret af JPCERT/CC i en Kimsuky-kampagne rettet mod japanske enheder. Dette værktøj er udstyret til at fange og eksfiltrere data om aktive applikationer, tastetryk og musebevægelser på den berørte maskine.
En meget målrettet angrebskampagne
Cybersikkerhedseksperter har identificeret ligheder i kildekoden til både KLogExe og FPSpy, hvilket indikerer, at de sandsynligvis er udviklet af den samme forfatter. Mens Kimsuky har en historie med at målrette mod forskellige regioner og sektorer, ser denne særlige kampagne ud til at være fokuseret på organisationer i Japan og Sydkorea.
I betragtning af den målrettede og selektive karakter af disse operationer har forskere konkluderet, at kampagnen sandsynligvis ikke vil være udbredt. I stedet ser det ud til at være begrænset til specifikke industrier og primært begrænset til Japan og Sydkorea.
