بدافزار FPSpy

گروه های تهدید مرتبط با کره شمالی با استفاده از دو ابزار جدید توسعه یافته به نام های KLogEXE و FPSpy شناسایی شده اند. این فعالیت به یک عامل تهدید به نام کیمسوکی مرتبط است که با نام‌هایی مانند APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Tallium سابق)، Sparkling Pisces، Springtail و Velvet Chollima نیز شناخته می‌شود. این ابزارهای جدید مجموعه ابزار قابل توجهی از ماهی های درخشان را گسترش می دهند که منعکس کننده تکامل مداوم و پیچیدگی روزافزون این گروه است.

یک بازیگر پیچیده تهدید که بیش از یک دهه فعالیت می کند

این بازیگر تهدید که حداقل از سال 2012 فعال است، به دلیل توانایی اش در فریب قربانیان برای دانلود بدافزارها با ارسال ایمیل هایی که به نظر می رسد از طرف های مورد اعتماد هستند، "سلطان فیشینگ نیزه" نامیده می شود. تجزیه و تحلیل محققان از زیرساخت های Kimsuki دو فایل اجرایی قابل حمل جدید به نام های KLogEXE و FPSpy را کشف کرده است.

این گونه‌های بدافزار عمدتاً از طریق حملات spear-phishing منتقل می‌شوند. بر اساس اطلاعات موجود، به نظر می رسد که اپراتورهای شرور این کمپین از حملات مهندسی اجتماعی در قالب ایمیل های فیشینگ نیزه ای که به اهدافشان ارسال می شود، حمایت می کنند.

این ایمیل‌هایی که با دقت ساخته شده‌اند، زبانی دارند که برای فریب دادن اهداف برای دانلود فایل ZIP پیوست شده به ایمیل طراحی شده است. هدف‌ها اغلب تشویق می‌شوند تا فایل‌های خراب را استخراج کنند، که پس از اجرا، زنجیره عفونت را فراخوانی می‌کنند - در نهایت این گونه‌های بدافزار را تحویل می‌دهند.

FPSpy به قابلیت های تهاجمی متعددی مجهز است

اعتقاد بر این است که FPSpy گونه‌ای از درب پشتی است که برای اولین بار توسط AhnLab در سال 2022 در معرض دید قرار گرفت و شباهت‌هایی را با تهدیدی که توسط Cybereason تحت نام KGH_SPY در اواخر سال 2020 ثبت شد، نشان می‌دهد. دستورات دلخواه را اجرا کنید و درایوها، پوشه ها و فایل ها را در سیستم در معرض خطر اسکن کنید.

در همین حال، KLogExe، یکی دیگر از تهدیدات تازه شناسایی شده، یک اقتباس C++ از یک keylogger مبتنی بر PowerShell به نام InfoKey است که قبلاً توسط JPCERT/CC در یک کمپین Kimsuky با هدف قرار دادن نهادهای ژاپنی پرچم‌گذاری شده بود. این ابزار برای جمع‌آوری و استخراج داده‌ها در مورد برنامه‌های کاربردی فعال، فشار دادن کلید و حرکات ماوس بر روی دستگاه آسیب‌دیده مجهز است.

کمپین حمله بسیار هدفمند

کارشناسان امنیت سایبری شباهت هایی را در کد منبع هر دو KLogExe و FPSpy شناسایی کرده اند که نشان می دهد احتمالاً توسط یک نویسنده توسعه یافته اند. در حالی که کیمسوکی سابقه هدف قرار دادن مناطق و بخش های مختلف را دارد، به نظر می رسد این کمپین خاص بر سازمان هایی در ژاپن و کره جنوبی متمرکز شده است.

با توجه به ماهیت هدفمند و انتخابی این عملیات، محققان به این نتیجه رسیده اند که بعید است این کمپین گسترده باشد. در عوض، به نظر می رسد که محدود به صنایع خاصی است و عمدتاً به ژاپن و کره جنوبی محدود می شود.