forceCopy Stealer

उत्तर कोरिया से जुड़े हैकिंग समूह किमसुकी को फोर्सकॉपी नामक एक नए पहचाने गए सूचना-चोरी मैलवेयर को वितरित करने के लिए स्पीयर-फ़िशिंग हमलों का उपयोग करते हुए पाया गया है। ये हमले फ़िशिंग ईमेल से शुरू होते हैं जिसमें एक प्रच्छन्न विंडोज शॉर्टकट (LNK) फ़ाइल होती है, जिसे Microsoft Office या PDF दस्तावेज़ की तरह बनाया जाता है। अनजान प्राप्तकर्ता जो फ़ाइल को अनजाने में खोलते हैं, वे एक चेन रिएक्शन शुरू करते हैं जो दुर्भावनापूर्ण कमांड निष्पादित करता है।

ख़तरनाक पेलोड वितरित करने के लिए वैध उपकरणों का उपयोग करना

एक बार जब उपयोगकर्ता हानिकारक अनुलग्नक के साथ इंटरैक्ट करता है, तो संक्रमण प्रक्रिया PowerShell या 'mshta.exe' को निष्पादित करके शुरू होती है, जो HTML एप्लिकेशन (HTA) फ़ाइलों को चलाने के लिए उपयोग की जाने वाली एक वैध विंडोज उपयोगिता है। यह तकनीक हमलावरों को संदेह पैदा किए बिना बाहरी स्रोत से अतिरिक्त मैलवेयर पेलोड लाने और तैनात करने की अनुमति देती है।

ट्रोजन और रिमोट डेस्कटॉप टूल तैनात करना

हमलों के परिणामस्वरूप अंततः ज्ञात खतरों की तैनाती होती है, जिसमें PEBBLEDASH ट्रोजन और RDP रैपर का संशोधित संस्करण शामिल है, जो रिमोट डेस्कटॉप एक्सेस के लिए उपयोग किया जाने वाला एक ओपन-सोर्स टूल है। इनके साथ-साथ, प्रॉक्सी मैलवेयर को रिमोट डेस्कटॉप प्रोटोकॉल (RDP) के माध्यम से समझौता किए गए डिवाइस और हमलावरों के बाहरी नेटवर्क के बीच निरंतर कनेक्शन सुनिश्चित करने के लिए पेश किया जाता है।

कीलॉगर और फ़ोर्सकॉपी: संग्रहीत क्रेडेंशियल्स को लक्षित करना

किमसुकी को कीस्ट्रोक्स को पकड़ने के लिए पॉवरशेल-आधारित कीलॉगर का उपयोग करते हुए भी देखा गया है, जिससे संवेदनशील जानकारी चुराने की उनकी क्षमता और बढ़ जाती है। इसके अतिरिक्त, हाल ही में खोजा गया फ़ोर्सकॉपी मैलवेयर विशेष रूप से वेब ब्राउज़र निर्देशिकाओं में संग्रहीत फ़ाइलों को निकालने के लिए डिज़ाइन किया गया है। यह सुरक्षा प्रतिबंधों को दरकिनार करने और सीधे ब्राउज़र कॉन्फ़िगरेशन फ़ाइलों तक पहुँचने के प्रयास का सुझाव देता है जहाँ लॉगिन क्रेडेंशियल अक्सर संग्रहीत होते हैं।

एक रणनीतिक बदलाव: होस्ट नियंत्रण के लिए RDP का उपयोग करना

समूह की आरडीपी रैपर और प्रॉक्सी मैलवेयर पर निर्भरता उनके संचालन में एक सामरिक बदलाव को उजागर करती है। पहले, किमसुकी ने संक्रमित सिस्टम को नियंत्रित करने के लिए मुख्य रूप से कस्टम-निर्मित बैकडोर का उपयोग किया था। अब, व्यापक रूप से उपलब्ध उपकरणों का लाभ उठाकर, उनका लक्ष्य पता लगाने की संभावनाओं को कम करते हुए दृढ़ता बनाए रखना है।

APT43: एक दीर्घकालिक साइबर जासूसी खतरा

किमसुकी, जिसे APT43, ब्लैक बंशी और एमराल्ड स्लीट जैसे उपनामों से भी जाना जाता है, माना जाता है कि वह उत्तर कोरिया के टोही जनरल ब्यूरो (RGB) के तहत काम करता है, जो देश की प्रमुख विदेशी खुफिया सेवा है। कम से कम 2012 से सक्रिय, इस समूह का ईमेल सुरक्षा बचाव को दरकिनार करने के लिए परिष्कृत सोशल इंजीनियरिंग हमलों को अंजाम देने का एक लंबा इतिहास रहा है।

रूसी-आधारित फ़िशिंग अभियानों के साथ परिचालन का विस्तार

हाल के निष्कर्षों से पता चलता है कि किमसुकी क्रेडेंशियल चोरी अभियान चलाने के लिए रूसी ईमेल सेवाओं से भेजे गए फ़िशिंग ईमेल का उपयोग कर रहा है। दिसंबर 2024 में देखा गया यह अनुकूलन समूह की विकसित होती रणनीति को दर्शाता है क्योंकि यह उच्च-मूल्य वाले व्यक्तियों और संगठनों को लक्षित करने के लिए अपनी सोशल इंजीनियरिंग तकनीकों को परिष्कृत करना जारी रखता है।