ForceCopy Stealer

گروه هکر Kimsuky مرتبط با کره شمالی پیدا شده است که از حملات spear-phishing برای توزیع بدافزار سرقت اطلاعات جدید شناسایی شده به نام forceCopy استفاده می کند. این حملات با ایمیل‌های فیشینگ شروع می‌شوند که حاوی یک فایل میانبر ویندوز (LNK) است که شبیه یک سند مایکروسافت آفیس یا PDF است. گیرندگان ناآگاهی که فایل را باز می کنند ناآگاهانه یک واکنش زنجیره ای را انجام می دهند که دستورات مخرب را اجرا می کند.

بهره‌برداری از ابزارهای قانونی برای تحویل بارهای خطرناک

هنگامی که کاربر با پیوست مضر تعامل کرد، فرآیند آلودگی با اجرای PowerShell یا 'mshta.exe'، یک ابزار قانونی ویندوز که برای اجرای فایل های HTML Application (HTA) استفاده می شود، آغاز می شود. این تکنیک به مهاجمان این امکان را می دهد که بدون ایجاد شک و تردید، بارهای بدافزار اضافی را از یک منبع خارجی دریافت و مستقر کنند.

استقرار تروجان ها و ابزارهای دسکتاپ از راه دور

این حملات در نهایت منجر به استقرار تهدیدهای شناخته شده، از جمله تروجان PEBBLEDASH و نسخه اصلاح شده RDP Wrapper، یک ابزار منبع باز است که برای دسترسی از راه دور دسکتاپ استفاده می شود. در کنار اینها، بدافزار پروکسی برای اطمینان از اتصال مداوم بین دستگاه در معرض خطر و شبکه خارجی مهاجمان از طریق پروتکل دسکتاپ از راه دور (RDP) معرفی شده است.

Keylogger و forceCopy: هدف قرار دادن اعتبارنامه های ذخیره شده

همچنین دیده شده است که کیمسوکی از یک keylogger مبتنی بر PowerShell برای ضبط ضربه‌های کلید استفاده می‌کند و توانایی آن‌ها در سرقت اطلاعات حساس را بیشتر می‌کند. علاوه بر این، بدافزار forceCopy تازه کشف شده به طور خاص برای استخراج فایل های ذخیره شده در فهرست های مرورگر وب طراحی شده است. این نشان‌دهنده تلاشی برای دور زدن محدودیت‌های امنیتی و دسترسی مستقیم به فایل‌های پیکربندی مرورگر است که معمولاً اعتبار ورود به سیستم در آن‌ها ذخیره می‌شود.

یک تغییر استراتژیک: استفاده از RDP برای کنترل میزبان

اتکای این گروه به RDP Wrapper و بدافزار پروکسی نشان دهنده تغییر تاکتیکی در عملیات آنهاست. پیش از این، کیمسوکی عمدتاً از درهای پشتی سفارشی برای کنترل سیستم های آلوده استفاده می کرد. اکنون، با استفاده از ابزارهای گسترده در دسترس، هدف آنها حفظ پایداری و کاهش شانس تشخیص است.

APT43: یک تهدید جاسوسی سایبری طولانی مدت

کیمسوکی که با نام‌هایی مانند APT43، Black Banshee و Emerald Sleet نیز شناخته می‌شود، گمان می‌رود که زیر نظر اداره کل شناسایی کره شمالی (RGB)، سرویس اطلاعاتی خارجی این کشور، فعالیت می‌کند. این گروه که حداقل از سال 2012 فعال است، سابقه طولانی در اجرای حملات مهندسی اجتماعی پیچیده برای دور زدن دفاع امنیتی ایمیل دارد.

گسترش عملیات با کمپین های فیشینگ مستقر در روسیه

یافته‌های اخیر نشان می‌دهد که کیمسوکی از ایمیل‌های فیشینگ ارسال شده از سرویس‌های ایمیل روسی برای انجام کمپین‌های سرقت اعتبار استفاده می‌کند. این انطباق، که در دسامبر 2024 مشاهده شد، نشان‌دهنده تاکتیک‌های در حال تحول گروه است که همچنان به اصلاح تکنیک‌های مهندسی اجتماعی خود برای هدف قرار دادن افراد و سازمان‌های با ارزش ادامه می‌دهد.