ForceCopy Stealer

לתרגם ל:

קבוצת הפריצה Kimsuky, המקושרת לצפון קוריאה, נמצאה משתמשת בהתקפות דיוג בחנית כדי להפיץ תוכנה זדונית גניבת מידע חדשה שזוהתה בשם forceCopy. התקפות אלו מתחילות בדוא"ל דיוג המכילים קובץ קיצורי דרך (LNK) מוסווה של Windows, שנעשה להופיע כמו מסמך Microsoft Office או PDF. נמענים תמימים שפותחים את הקובץ מבלי משים עוררו תגובת שרשרת שמבצעת פקודות זדוניות.

תוכן העניינים

ניצול כלים לגיטימיים כדי לספק מטענים מאיימים

ברגע שהמשתמש יוצר אינטראקציה עם הקובץ המצורף המזיק, תהליך ההדבקה מתחיל על ידי הפעלת PowerShell או 'mshta.exe', כלי עזר לגיטימי של Windows המשמש להפעלת קובצי HTML (HTA). טכניקה זו מאפשרת לתוקפים להביא ולפרוס מטענים נוספים של תוכנות זדוניות ממקור חיצוני מבלי לעורר חשד.

פריסת סוסים טרויאניים וכלי שולחן עבודה מרוחק

ההתקפות מביאות בסופו של דבר לפריסה של איומים ידועים, כולל הטרויאני PEBBLEDASH וגרסה שונה של RDP Wrapper, כלי קוד פתוח המשמש לגישה לשולחן עבודה מרחוק. לצד אלה, תוכנות זדוניות פרוקסי מוכנסות כדי להבטיח חיבור רציף בין המכשיר שנפרץ לרשת החיצונית של התוקפים באמצעות Remote Desktop Protocol (RDP).

Keylogger ו-forceCopy: מיקוד אישורים מאוחסנים

Kimsuky נראתה גם משתמשת ב-keylogger מבוסס PowerShell כדי ללכוד הקשות, מה שמשפר עוד יותר את יכולתם לגנוב מידע רגיש. בנוסף, התוכנה הזדונית ForceCopy שהתגלתה לאחרונה תוכננה במיוחד כדי לחלץ קבצים המאוחסנים בספריות של דפדפן אינטרנט. זה מרמז על ניסיון לעקוף מגבלות אבטחה ולגשת ישירות לקבצי תצורת דפדפן שבהם מאוחסנים לעתים קרובות אישורי כניסה.

שינוי אסטרטגי: שימוש ב-RPP עבור בקרת מארח

ההסתמכות של הקבוצה על RDP Wrapper ותוכנות זדוניות פרוקסי מדגישה שינוי טקטי בפעילותם. בעבר, Kimsuky השתמש בעיקר בדלתות אחוריות שנבנו בהתאמה אישית כדי לשלוט במערכות נגועות. כעת, על ידי מינוף כלים זמינים באופן נרחב, הם שואפים לשמור על התמדה תוך הפחתת סיכויי הגילוי.

APT43: איום ארוך שנים בריגול סייבר

Kimsuky, הידוע גם בכינויים כגון APT43, Black Banshee ו-Emerald Sleet, פועלת תחת הלשכה הכללית של צפון קוריאה (RGB), שירות הביון הזר המוביל במדינה. לקבוצה פעילה לפחות משנת 2012, יש לקבוצה היסטוריה ארוכה של ביצוע התקפות הנדסה חברתית מתוחכמות כדי לעקוף הגנות אבטחת דוא"ל.

הרחבת הפעילות עם מסעות פרסום דיוג מבוססי רוסיה

ממצאים אחרונים מצביעים על כך שקימסוקי השתמשה בדוא"ל דיוג שנשלח משירותי דוא"ל רוסים כדי לבצע קמפיינים של גניבת אישורים. התאמה זו, שנצפתה בדצמבר 2024, משקפת את הטקטיקה המתפתחת של הקבוצה כשהיא ממשיכה לשכלל את טכניקות ההנדסה החברתית שלה כדי להתמקד ביחידים ובארגונים בעלי ערך גבוה.

הגשת בקשה לפשיטת רגל של מעבד התשלומים של EnigmaSoft, Digital River GmbH, אינה משפיעה על ההגנה נגד תוכנות זדוניות של לקוחות SpyHunter

לחפש

שנה אזור

ForceCopy Stealer

ניצול כלים לגיטימיים כדי לספק מטענים מאיימים

פריסת סוסים טרויאניים וכלי שולחן עבודה מרוחק

Keylogger ו-forceCopy: מיקוד אישורים מאוחסנים

שינוי אסטרטגי: שימוש ב-RPP עבור בקרת מארח

APT43: איום ארוך שנים בריגול סייבר

הרחבת הפעילות עם מסעות פרסום דיוג מבוססי רוסיה

הכנס תגובה

מגמות

ניסיון כניסה נחסם הונאת דוא"ל

טרויאני:Win32/Amadey!rfn

הונאת חיבור ארנק Jupiverse

הכי נצפה

מה זה 'msedgewebview2.exe'?

הונאת דוא"ל 'Gek Squad'

חלונות קופצים של 'האייפון שלך נפרץ'