ForceCopy Stealer
Η συνδεδεμένη με τη Βόρεια Κορέα ομάδα hacking Kimsuky βρέθηκε να χρησιμοποιεί επιθέσεις spear-phishing για να διανείμει ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό κλοπής πληροφοριών που ονομάζεται forceCopy. Αυτές οι επιθέσεις ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος (phishing) που περιέχουν ένα συγκαλυμμένο αρχείο συντόμευσης των Windows (LNK), σχεδιασμένο να φαίνεται σαν έγγραφο του Microsoft Office ή PDF. Ανυποψίαστοι παραλήπτες που ανοίγουν το αρχείο εν αγνοία τους πυροδοτούν μια αλυσιδωτή αντίδραση που εκτελεί κακόβουλες εντολές.
Πίνακας περιεχομένων
Αξιοποίηση νόμιμων εργαλείων για την παράδοση απειλητικών ωφέλιμων φορτίων
Μόλις ο χρήστης αλληλεπιδράσει με το επιβλαβές συνημμένο, η διαδικασία μόλυνσης ξεκινά εκτελώντας το PowerShell ή το «mshta.exe», ένα νόμιμο βοηθητικό πρόγραμμα των Windows που χρησιμοποιείται για την εκτέλεση αρχείων εφαρμογής HTML (HTA). Αυτή η τεχνική επιτρέπει στους επιτιθέμενους να ανακτήσουν και να αναπτύξουν πρόσθετα ωφέλιμα φορτία κακόβουλου λογισμικού από μια εξωτερική πηγή χωρίς να εγείρουν υποψίες.
Ανάπτυξη Trojans και εργαλείων απομακρυσμένης επιφάνειας εργασίας
Οι επιθέσεις τελικά καταλήγουν στην ανάπτυξη γνωστών απειλών, συμπεριλαμβανομένου του Trojan PEBBLEDASH και μιας τροποποιημένης έκδοσης του RDP Wrapper, ενός εργαλείου ανοιχτού κώδικα που χρησιμοποιείται για πρόσβαση απομακρυσμένης επιφάνειας εργασίας. Παράλληλα με αυτά, εισάγεται κακόβουλο λογισμικό διακομιστή μεσολάβησης για να διασφαλιστεί μια συνεχής σύνδεση μεταξύ της παραβιασμένης συσκευής και του εξωτερικού δικτύου των εισβολέων μέσω του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP).
Ένα Keylogger και forceCopy: Στόχευση αποθηκευμένων διαπιστευτηρίων
Ο Kimsuky έχει επίσης δει να χρησιμοποιεί ένα keylogger που βασίζεται στο PowerShell για να καταγράφει πατήματα πλήκτρων, ενισχύοντας περαιτέρω την ικανότητά του να κλέβει ευαίσθητες πληροφορίες. Επιπλέον, το κακόβουλο λογισμικό forceCopy που ανακαλύφθηκε πρόσφατα έχει σχεδιαστεί ειδικά για την εξαγωγή αρχείων που είναι αποθηκευμένα σε καταλόγους του προγράμματος περιήγησης Ιστού. Αυτό υποδηλώνει μια προσπάθεια παράκαμψης περιορισμών ασφαλείας και άμεσης πρόσβασης στα αρχεία διαμόρφωσης του προγράμματος περιήγησης όπου συχνά αποθηκεύονται τα διαπιστευτήρια σύνδεσης.
Μια στρατηγική μετατόπιση: Χρήση RDP για έλεγχο κεντρικού υπολογιστή
Η εξάρτηση της ομάδας από το RDP Wrapper και το κακόβουλο λογισμικό διακομιστή μεσολάβησης υπογραμμίζει μια αλλαγή τακτικής στις δραστηριότητές τους. Προηγουμένως, η Kimsuky χρησιμοποιούσε κυρίως προσαρμοσμένες κερκόπορτες για τον έλεγχο των μολυσμένων συστημάτων. Τώρα, αξιοποιώντας ευρέως διαθέσιμα εργαλεία, στοχεύουν στη διατήρηση της επιμονής μειώνοντας παράλληλα τις πιθανότητες ανίχνευσης.
APT43: Μια μακροχρόνια απειλή κυβερνοκατασκοπείας
Ο Kimsuky, επίσης γνωστός με ψευδώνυμα όπως το APT43, το Black Banshee και το Emerald Sleet, πιστεύεται ότι λειτουργεί υπό το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας (RGB), την κορυφαία εξωτερική υπηρεσία πληροφοριών της χώρας. Ενεργός τουλάχιστον από το 2012, η ομάδα έχει μακρά ιστορία στην εκτέλεση εξελιγμένων επιθέσεων κοινωνικής μηχανικής για να παρακάμψει τις άμυνες ασφαλείας email.
Επέκταση λειτουργιών με καμπάνιες ηλεκτρονικού ψαρέματος με βάση τη Ρωσία
Πρόσφατα ευρήματα δείχνουν ότι ο Kimsuky χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται από ρωσικές υπηρεσίες ηλεκτρονικού ταχυδρομείου για να πραγματοποιεί εκστρατείες κλοπής διαπιστευτηρίων. Αυτή η προσαρμογή, που παρατηρήθηκε τον Δεκέμβριο του 2024, αντανακλά τις εξελισσόμενες τακτικές της ομάδας καθώς συνεχίζει να βελτιώνει τις τεχνικές κοινωνικής μηχανικής της για να στοχεύει άτομα και οργανισμούς υψηλής αξίας.
