FPSpy pahavara
Põhja-Koreaga seotud ohurühmad on tuvastatud, kasutades kahte äsja väljatöötatud tööriista, mida tuntakse KLogEXE ja FPSpy nime all. See tegevus on seotud Kimsuky-nimelise ohunäitlejaga, keda tuntakse ka selliste varjunimede all nagu APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (endine tallium), Sparkling Kalad, Springtail ja Velvet Chollima. Need värsked tööriistad laiendavad Sparkling Kalade juba niigi märkimisväärset tööriistakomplekti, peegeldades grupi jätkuvat arengut ja kasvavat keerukust.
Sisukord
Keeruline ohunäitleja, kes tegutsenud üle kümne aasta
Vähemalt 2012. aastast aktiivne olnud ohunäitlejat on kutsutud andmepüügi kuningaks, kuna ta suudab meelitada ohvreid pahavara alla laadima, saates e-kirju, mis jätavad mulje, et need on pärit usaldusväärsetelt isikutelt. Teadlaste analüüs Kimsuki infrastruktuuri kohta on avastanud kaks uut kaasaskantavat käivitatavat faili, mida nimetatakse KLogEXE-ks ja FPSpy-ks.
Teadaolevalt edastatakse need pahavara tüved peamiselt andmepüügirünnakute kaudu. Olemasoleva teabe põhjal näib, et selle kampaania kurjad operaatorid soosivad sotsiaalse manipuleerimise rünnakuid nende sihtmärkidele saadetavate andmepüügimeilide kujul."
Nendel hoolikalt koostatud meilidel on keel, mille eesmärk on meelitada sihtmärke meilile lisatud ZIP-faili alla laadima. Sihtmärke julgustatakse sageli ekstraheerima rikutud faile, mis käivitavad käivitamisel nakkusahela, mis lõpuks edastab need pahavara tüved.
FPSpy on varustatud paljude invasiivsete võimalustega
Arvatakse, et FPSpy on tagaukse variant, mille AhnLab esmakordselt avalikustas 2022. aastal, näidates sarnasusi ohuga, mille Cybereason dokumenteeris 2020. aasta lõpus nime all KGH_SPY. Lisaks klahvilogimisele on FPSpy loodud süsteemi üksikasjade kogumiseks, täiendavate kasulike koormuste allalaadimiseks ja juurutamiseks, käivitada suvalisi käske ning skannida rikutud süsteemis olevaid draive, kaustu ja faile.
Samal ajal on KLogExe, teine äsja tuvastatud oht, PowerShellil põhineva klahvilogija InfoKey C++ adaptsioon, mida varem märgistas JPCERT/CC Jaapani üksustele suunatud Kimsuky kampaanias. See tööriist on varustatud aktiivsete rakenduste, klahvivajutuste ja hiire liigutuste andmete hõivamiseks ja väljafiltreerimiseks mõjutatud masinas.
Väga sihitud rünnakukampaania
Küberturvalisuse eksperdid on tuvastanud sarnasusi nii KLogExe kui ka FPSpy lähtekoodis, mis näitab, et need on tõenäoliselt välja töötatud sama autori poolt. Kuigi Kimsuky on varem sihtinud erinevaid piirkondi ja sektoreid, näib see konkreetne kampaania olevat keskendunud Jaapani ja Lõuna-Korea organisatsioonidele.
Arvestades nende operatsioonide sihipärast ja valikulist olemust, on teadlased jõudnud järeldusele, et kampaania ei ole tõenäoliselt laialt levinud. Selle asemel näib, et see piirdub konkreetsete tööstusharudega ja piirdub peamiselt Jaapani ja Lõuna-Koreaga.
