Κακόβουλο λογισμικό FPSpy
Ομάδες απειλών που συνδέονται με τη Βόρεια Κορέα έχουν εντοπιστεί χρησιμοποιώντας δύο πρόσφατα αναπτυγμένα εργαλεία γνωστά ως KLogEXE και FPSpy. Αυτή η δραστηριότητα έχει συνδεθεί με έναν παράγοντα απειλής που αναφέρεται ως Kimsuky, ο οποίος επίσης αναγνωρίζεται με ψευδώνυμα όπως APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (πρώην Thallium), Sparkling Pisces, Springtail και Velvet Chollima. Αυτά τα φρέσκα εργαλεία επεκτείνουν την ήδη σημαντική εργαλειοθήκη του Sparkling Pisces, αντανακλώντας τη συνεχή εξέλιξη και την αυξανόμενη πολυπλοκότητα της ομάδας.
Πίνακας περιεχομένων
Ένας περίπλοκος ηθοποιός απειλών που λειτουργεί για πάνω από μια δεκαετία
Ενεργός τουλάχιστον από το 2012, ο ηθοποιός των απειλών αποκαλείται «βασιλιάς του ψαρέματος με δόρυ» για την ικανότητά του να ξεγελά τα θύματα να κατεβάζουν κακόβουλο λογισμικό στέλνοντας email που το κάνουν να φαίνεται σαν να προέρχονται από αξιόπιστα μέρη. Η ανάλυση των ερευνητών για την υποδομή της Kimsuki αποκάλυψε δύο νέα φορητά εκτελέσιμα που αναφέρονται ως KLogEXE και FPSpy.
Αυτά τα στελέχη κακόβουλου λογισμικού είναι γνωστό ότι παραδίδονται κυρίως μέσω επιθέσεων spear-phishing. Με βάση τις διαθέσιμες πληροφορίες, φαίνεται ότι οι κακοί χειριστές αυτής της καμπάνιας ευνοούν τις επιθέσεις κοινωνικής μηχανικής με τη μορφή email ηλεκτρονικού ψαρέματος (spear-phishing) που αποστέλλονται στους στόχους τους».
Αυτά τα προσεκτικά κατασκευασμένα email έχουν μια γλώσσα σχεδιασμένη για να παρασύρει τους στόχους στη λήψη ενός αρχείου ZIP που είναι συνημμένο στο email. Οι στόχοι συχνά ενθαρρύνονται να εξάγουν κατεστραμμένα αρχεία, τα οποία κατά την εκτέλεση επικαλούνται την αλυσίδα μόλυνσης - τελικά παραδίδουν αυτά τα στελέχη κακόβουλου λογισμικού.
Το FPSpy είναι εξοπλισμένο με πολυάριθμες επεμβατικές δυνατότητες
Το FPSpy πιστεύεται ότι είναι μια παραλλαγή μιας κερκόπορτας που εκτέθηκε για πρώτη φορά από την AhnLab το 2022, εμφανίζοντας ομοιότητες με μια απειλή που τεκμηριώθηκε από την Cybereason με το όνομα KGH_SPY στα τέλη του 2020. Πέρα από την καταγραφή πληκτρολογίου, το FPSpy έχει σχεδιαστεί για τη συλλογή λεπτομερειών συστήματος, τη λήψη και την ανάπτυξη πρόσθετων ωφέλιμων φορτίων. εκτελέστε αυθαίρετες εντολές και σαρώστε μονάδες δίσκου, φακέλους και αρχεία στο παραβιασμένο σύστημα.
Εν τω μεταξύ, το KLogExe, μια άλλη απειλή που εντοπίστηκε πρόσφατα, είναι μια προσαρμογή C++ ενός keylogger που βασίζεται σε PowerShell που ονομάζεται InfoKey, που προηγουμένως είχε επισημανθεί από το JPCERT/CC σε μια καμπάνια Kimsuky που στοχεύει ιαπωνικές οντότητες. Αυτό το εργαλείο είναι εξοπλισμένο για τη σύλληψη και την εξαγωγή δεδομένων σχετικά με τις ενεργές εφαρμογές, τα πλήκτρα και τις κινήσεις του ποντικιού στο πληγέν μηχάνημα.
Μια εκστρατεία επιθέσεων με υψηλούς στόχευσης
Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει ομοιότητες στον πηγαίο κώδικα τόσο του KLogExe όσο και του FPSpy, υποδεικνύοντας ότι πιθανότατα έχουν αναπτυχθεί από τον ίδιο συγγραφέα. Ενώ η Kimsuky έχει ιστορικό στόχευσης διαφόρων περιοχών και τομέων, αυτή η συγκεκριμένη καμπάνια φαίνεται να επικεντρώνεται σε οργανισμούς στην Ιαπωνία και τη Νότια Κορέα.
Δεδομένου του στοχευμένου και επιλεκτικού χαρακτήρα αυτών των επιχειρήσεων, οι ερευνητές κατέληξαν στο συμπέρασμα ότι η εκστρατεία είναι απίθανο να είναι ευρέως διαδεδομένη. Αντίθετα, φαίνεται ότι περιορίζεται σε συγκεκριμένες βιομηχανίες και περιορίζεται κυρίως στην Ιαπωνία και τη Νότια Κορέα.
