FPSpy-haittaohjelma
Pohjois-Koreaan liittyvät uhkaryhmät on tunnistettu käyttämällä kahta äskettäin kehitettyä työkalua, jotka tunnetaan nimellä KLogEXE ja FPSpy. Tämä toiminta on yhdistetty Kimsukyksi kutsuttuun uhkatekijään, joka tunnetaan myös aliaksilla, kuten APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (entinen Thallium), Sparkling Kalat, Springtail ja Velvet Chollima. Nämä uudet työkalut laajentavat Sparkling Kalojen jo ennestään huomattavaa työkalupakkia heijastaen ryhmän jatkuvaa kehitystä ja kasvavaa hienostuneisuutta.
Sisällysluettelo
Yli vuosikymmenen ajan toiminut hienostunut uhkanäyttelijä
Ainakin vuodesta 2012 lähtien aktiivista uhkatekijää on kutsuttu "keihästietojenkalastelun kuninkaaksi" sen kyvystä huijata uhreja lataamaan haittaohjelmia lähettämällä sähköpostiviestejä, jotka näyttävät olevan peräisin luotetuilta osapuolilta. Tutkijoiden analyysi Kimsukin infrastruktuurista on paljastanut kaksi uutta kannettavaa suoritettavaa tiedostoa, joita kutsutaan nimellä KLogEXE ja FPSpy.
Näiden haittaohjelmien tiedetään tulevan ensisijaisesti phishing-hyökkäysten kautta. Saatavilla olevien tietojen perusteella vaikuttaa siltä, että tämän kampanjan pahat toimijat suosivat sosiaalisia manipulointihyökkäyksiä kohteilleen lähetettyjen keihäs-phishing-sähköpostien muodossa."
Näissä huolellisesti laadituissa sähköpostiviesteissä on kieli, joka on suunniteltu houkuttelemaan kohteet lataamaan sähköpostiin liitetyn ZIP-tiedoston. Kohteita kannustetaan usein purkamaan vioittuneita tiedostoja, jotka suorittaessaan kutsuvat tartuntaketjun ja lopulta toimittavat nämä haittaohjelmakannat.
FPSpy on varustettu lukuisilla invasiivisilla ominaisuuksilla
FPSpyn uskotaan olevan muunnelma takaovesta, jonka AhnLab paljasti ensimmäisen kerran vuonna 2022, ja se osoittaa yhtäläisyyksiä Cybereasonin KGH_SPY-nimellä vuoden 2020 lopulla dokumentoimaan uhkaan. Näppäinlokinnan lisäksi FPSpy on suunniteltu keräämään järjestelmätietoja, lataamaan ja ottamaan käyttöön lisähyötykuormia, suorittaa mielivaltaisia komentoja ja tarkistaa asemat, kansiot ja tiedostot vaarantuneessa järjestelmässä.
Samaan aikaan KLogExe, toinen äskettäin tunnistettu uhka, on C++-sovitus PowerShell-pohjaisesta InfoKey-näppäinloggerista, jonka JPCERT/CC on aiemmin merkinnyt Kimsuky-kampanjassa, joka oli kohdistettu japanilaisille entiteeteille. Tämä työkalu on varustettu keräämään ja suodattamaan tietoja aktiivisista sovelluksista, näppäinpainalluksista ja hiiren liikkeistä kyseisessä koneessa.
Hyvin kohdennettu hyökkäyskampanja
Kyberturvallisuusasiantuntijat ovat havainneet yhtäläisyyksiä sekä KLogExen että FPSpyn lähdekoodissa, mikä viittaa siihen, että ne ovat todennäköisesti saman kirjoittajan kehittämiä. Vaikka Kimsuky on aiemmin kohdistanut eri alueille ja sektoreille, tämä kampanja näyttää keskittyneen Japanin ja Etelä-Korean organisaatioihin.
Kun otetaan huomioon näiden operaatioiden kohdennettu ja valikoiva luonne, tutkijat ovat tulleet siihen johtopäätökseen, että kampanja ei todennäköisesti ole laajalle levinnyt. Sen sijaan se näyttää rajoittuvan tietyille toimialoille ja rajoittuvan ensisijaisesti Japaniin ja Etelä-Koreaan.
