FPSpy Malware

उत्तर कोरिया से जुड़े ख़तरा समूहों की पहचान दो नए विकसित उपकरणों का उपयोग करके की गई है जिन्हें KLogEXE और FPSpy के नाम से जाना जाता है। इस गतिविधि को किमसुकी नामक ख़तरा अभिनेता से जोड़ा गया है, जिसे APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (पूर्व में थैलियम), स्पार्कलिंग पिस, स्प्रिंगटेल और वेलवेट चोलिमा जैसे उपनामों से भी पहचाना जाता है। ये नए उपकरण स्पार्कलिंग पिस के पहले से ही काफी बड़े टूलकिट का विस्तार करते हैं, जो समूह के चल रहे विकास और बढ़ते परिष्कार को दर्शाते हैं।

एक परिष्कृत ख़तरा अभिनेता एक दशक से अधिक समय से सक्रिय है

कम से कम 2012 से सक्रिय, इस ख़तरनाक अभिनेता को 'स्पीयर फ़िशिंग का राजा' कहा जाता है, क्योंकि यह पीड़ितों को ईमेल भेजकर मैलवेयर डाउनलोड करने के लिए प्रेरित करता है, जिससे ऐसा लगता है कि वे विश्वसनीय पक्षों से हैं। किमसुकी के बुनियादी ढांचे के शोधकर्ताओं के विश्लेषण ने दो नए पोर्टेबल निष्पादन योग्य को उजागर किया है जिन्हें KLogEXE और FPSpy कहा जाता है।

इन मैलवेयर स्ट्रेन को मुख्य रूप से स्पीयर-फ़िशिंग हमलों के माध्यम से वितरित किया जाता है। उपलब्ध जानकारी के आधार पर, ऐसा प्रतीत होता है कि इस अभियान के दुष्ट संचालक अपने लक्ष्यों को भेजे गए स्पीयर-फ़िशिंग ईमेल के रूप में सोशल इंजीनियरिंग हमलों का समर्थन करते हैं।"

इन सावधानीपूर्वक तैयार किए गए ईमेल में एक ऐसी भाषा होती है जो लक्ष्य को ईमेल से जुड़ी एक ज़िप फ़ाइल डाउनलोड करने के लिए लुभाने के लिए डिज़ाइन की गई है। लक्ष्य को अक्सर दूषित फ़ाइलों को निकालने के लिए प्रोत्साहित किया जाता है, जो निष्पादन पर संक्रमण श्रृंखला को सक्रिय करता है - अंततः इन मैलवेयर उपभेदों को वितरित करता है।

FPSpy कई आक्रामक क्षमताओं से लैस है

माना जाता है कि FPSpy एक बैकडोर का एक प्रकार है जिसे पहली बार 2022 में AhnLab द्वारा उजागर किया गया था, जो 2020 के अंत में KGH_SPY नाम से साइबरसन द्वारा प्रलेखित एक खतरे के समान है। कीलॉगिंग से परे, FPSpy को सिस्टम विवरण एकत्र करने, अतिरिक्त पेलोड डाउनलोड करने और तैनात करने, मनमाने आदेशों को निष्पादित करने और समझौता किए गए सिस्टम पर ड्राइव, फ़ोल्डर्स और फ़ाइलों को स्कैन करने के लिए डिज़ाइन किया गया है।

इस बीच, KLogExe, एक और नया पहचाना गया खतरा, InfoKey नामक PowerShell-आधारित कीलॉगर का C++ अनुकूलन है, जिसे पहले JPCERT/CC द्वारा जापानी संस्थाओं को लक्षित करने वाले किमसुकी अभियान में फ़्लैग किया गया था। यह उपकरण प्रभावित मशीन पर सक्रिय अनुप्रयोगों, कीस्ट्रोक्स और माउस आंदोलनों के बारे में डेटा को कैप्चर और एक्सफ़िल्ट करने के लिए सुसज्जित है।

एक अत्यधिक लक्षित हमला अभियान

साइबर सुरक्षा विशेषज्ञों ने KLogExe और FPSpy दोनों के स्रोत कोड में समानताओं की पहचान की है, जो दर्शाता है कि वे संभवतः एक ही लेखक द्वारा विकसित किए गए हैं। जबकि किमसुकी का विभिन्न क्षेत्रों और क्षेत्रों को लक्षित करने का इतिहास रहा है, यह विशेष अभियान जापान और दक्षिण कोरिया के संगठनों पर केंद्रित प्रतीत होता है।

इन अभियानों की लक्षित और चयनात्मक प्रकृति को देखते हुए, शोधकर्ताओं ने निष्कर्ष निकाला है कि इस अभियान के व्यापक होने की संभावना नहीं है। इसके बजाय, यह विशिष्ट उद्योगों तक ही सीमित प्रतीत होता है और मुख्य रूप से जापान और दक्षिण कोरिया तक सीमित है।