ForceCopy Stealer
Pohjois-Koreaan sidoksissa oleva hakkerointiryhmä Kimsuky on löydetty käyttävän keihäsphishing-hyökkäyksiä äskettäin tunnistetun forceCopy-nimisen, tietoa varastavan haittaohjelman levittämiseen. Nämä hyökkäykset alkavat tietojenkalasteluviesteillä, jotka sisältävät naamioidun Windows-pikakuvakkeen (LNK) -tiedoston, joka on tehty näyttämään Microsoft Office- tai PDF-dokumentilta. Aavistamattomat vastaanottajat, jotka avaavat tiedoston tietämättään, käynnistävät ketjureaktion, joka suorittaa haitallisia komentoja.
Sisällysluettelo
Laillisten työkalujen hyödyntäminen uhkaavien hyötykuormien toimittamiseen
Kun käyttäjä on vuorovaikutuksessa haitallisen liitteen kanssa, tartuntaprosessi alkaa suorittamalla PowerShell tai "mshta.exe", laillinen Windows-apuohjelma, jota käytetään HTML Application (HTA) -tiedostojen suorittamiseen. Tämän tekniikan avulla hyökkääjät voivat noutaa ja ottaa käyttöön haittaohjelmien lisähyötykuormia ulkoisesta lähteestä herättämättä epäilyksiä.
Troijalaisten ja etätyöpöytätyökalujen käyttöönotto
Hyökkäykset johtavat lopulta tunnettujen uhkien käyttöön, mukaan lukien PEBBLEDASH- troijalainen ja muokattu versio RDP Wrapperista, avoimen lähdekoodin työkalusta, jota käytetään etätyöpöytäkäyttöön. Näiden lisäksi esitellään välityspalvelinhaittaohjelmat, jotka varmistavat jatkuvan yhteyden vaarantuneen laitteen ja hyökkääjien ulkoisen verkon välillä Remote Desktop Protocol (RDP) -protokollan kautta.
Keylogger ja forceCopy: Tallennettujen tunnistetietojen kohdistaminen
Kimsukyn on myös nähty käyttävän PowerShell-pohjaista näppäinloggeria näppäinpainallusten tallentamiseen, mikä parantaa entisestään heidän kykyään varastaa arkaluonteisia tietoja. Lisäksi äskettäin löydetty forceCopy-haittaohjelma on suunniteltu erityisesti purkamaan verkkoselaimen hakemistoihin tallennettuja tiedostoja. Tämä viittaa yritykseen ohittaa suojausrajoitukset ja päästä suoraan selaimen määritystiedostoihin, joihin kirjautumistiedot usein tallennetaan.
Strateginen muutos: RDP:n käyttö isäntäohjauksessa
Ryhmän riippuvuus RDP Wrapperista ja välityspalvelinhaittaohjelmista korostaa taktista muutosta niiden toiminnassa. Aiemmin Kimsuky käytti ensisijaisesti räätälöityjä takaovia tartunnan saaneiden järjestelmien hallintaan. Nyt hyödyntämällä laajasti saatavilla olevia työkaluja ne pyrkivät säilyttämään pysyvyyden ja vähentämään havaitsemismahdollisuuksia.
APT43: Pitkäaikainen kybervakoiluuhka
Kimsukyn, joka tunnetaan myös aliaksilla, kuten APT43, Black Banshee ja Emerald Sleet, uskotaan toimivan Pohjois-Korean tiedustelutoimiston (RGB), maan johtavan ulkomaantiedustelupalvelun alaisuudessa. Ryhmä on toiminut aktiivisesti ainakin vuodesta 2012, ja se on toteuttanut pitkälle kehitettyjä sosiaalisen manipuloinnin hyökkäyksiä sähköpostin suojauksen ohittamiseksi.
Toiminnan laajentaminen venäläisillä tietojenkalastelukampanjoilla
Viimeaikaiset havainnot osoittavat, että Kimsuky on käyttänyt venäläisistä sähköpostipalveluista lähetettyjä phishing-sähköposteja toteuttaakseen tunnistetietovarkauskampanjoita. Tämä joulukuussa 2024 havaittu mukautus heijastaa ryhmän kehittyvää taktiikkaa, kun se jatkaa sosiaalisen suunnittelun tekniikoiden jalostamista kohdentaakseen arvokkaita yksilöitä ja organisaatioita.
