ForceCopy Stealer
Leiti, et Põhja-Koreaga seotud häkkimisrühmitus Kimsuky kasutab andmepüügirünnakuid, et levitada äsja tuvastatud infovarastavat pahavara nimega forceCopy. Need rünnakud algavad andmepüügimeilidega, mis sisaldavad varjatud Windowsi otsetee (LNK) faili, mis on tehtud Microsoft Office'i või PDF-dokumendina. Pahaaimamatud adressaadid, kes avavad faili teadmatult, käivitavad ahelreaktsiooni, mis täidab pahatahtlikke käske.
Sisukord
Seaduspäraste tööriistade kasutamine ähvardava kasuliku koorma kohaletoimetamiseks
Kui kasutaja suhtleb kahjuliku manusega, algab nakatumisprotsess PowerShelli või mshta.exe käivitamisega, mis on seaduslik Windowsi utiliit, mida kasutatakse HTML-rakenduse (HTA) failide käitamiseks. See tehnika võimaldab ründajatel tuua ja juurutada täiendavat pahavara kasulikku koormust välisest allikast ilma kahtlust tekitamata.
Troojalaste ja kaugtöölaua tööriistade juurutamine
Rünnakute tulemuseks on teadaolevate ohtude juurutamine, sealhulgas PEBBLEDASH Trooja ja RDP Wrapperi muudetud versioon, avatud lähtekoodiga tööriist, mida kasutatakse kaugjuurdepääsuks töölauale. Nende kõrval võetakse kasutusele puhverserveri pahavara, et tagada pidev ühendus ohustatud seadme ja ründajate välisvõrgu vahel Remote Desktop Protocol (RDP) kaudu.
Keylogger ja forceCopy: salvestatud mandaatide sihtimine
Kimsukyt on nähtud ka klahvivajutuste jäädvustamiseks PowerShelli-põhist klahvilogijat, mis suurendab veelgi nende võimet varastada tundlikku teavet. Lisaks on äsja avastatud forceCopy pahavara spetsiaalselt loodud veebibrauseri kataloogidesse salvestatud failide ekstraktimiseks. See viitab katsele turvapiirangutest mööda minna ja pääseda otse brauseri konfiguratsioonifailidele, kuhu sageli salvestatakse sisselogimismandaate.
Strateegiline nihe: RDP kasutamine hosti juhtimiseks
Grupi toetumine RDP Wrapperile ja puhverserveri pahavarale toob esile nende tegevuse taktikalise nihke. Varem kasutas Kimsuky nakatunud süsteemide kontrollimiseks peamiselt eritellimusel ehitatud tagauksi. Nüüd, kasutades laialdaselt kättesaadavaid tööriistu, on nende eesmärk säilitada püsivus, vähendades samas avastamise võimalusi.
APT43: pikaajaline küberspionaaži oht
Kimsuky, keda tuntakse ka varjunimedega nagu APT43, Black Banshee ja Emerald Sleet, tegutseb arvatavasti riigi juhtiva välisluureteenistuse Põhja-Korea Reconnaissance General Bureau (RGB) all. Rühm on tegutsenud vähemalt 2012. aastast ning sellel on pikk ajalugu keerukate sotsiaalse manipuleerimise rünnakute läbiviimisel, et e-posti turvalisuse kaitsemeetmetest mööda minna.
Toimingute laiendamine Venemaa-põhiste andmepüügikampaaniatega
Hiljutised leiud näitavad, et Kimsuky on kasutanud mandaadivarguste kampaaniate läbiviimiseks Venemaa meiliteenustelt saadetud andmepüügimeile. See 2024. aasta detsembris täheldatud kohanemine peegeldab grupi arenevat taktikat, kuna see jätkab oma sotsiaalse insenertehniliste tehnikate täiustamist, et sihtida kõrge väärtusega üksikisikuid ja organisatsioone.
