ForceCopy kradljivac
Utvrđeno je da hakerska skupina Kimsuky, povezana sa Sjevernom Korejom, koristi spear-phishing napade za distribuciju nedavno identificiranog zlonamjernog softvera za krađu informacija pod nazivom forceCopy. Ovi napadi započinju s phishing e-poštom koja sadrži prikrivenu datoteku Windows prečaca (LNK) koja izgleda kao Microsoft Office ili PDF dokument. Ništa ne sumnjajući primatelji koji nesvjesno otvore datoteku pokreću lančanu reakciju koja izvršava zlonamjerne naredbe.
Sadržaj
Iskorištavanje legitimnih alata za isporuku prijetećih tereta
Nakon što korisnik stupi u interakciju sa štetnim privitkom, proces infekcije započinje izvršavanjem PowerShell-a ili 'mshta.exe', legitimnog uslužnog programa Windows koji se koristi za pokretanje datoteka HTML aplikacije (HTA). Ova tehnika omogućuje napadačima da dohvate i postave dodatni sadržaj zlonamjernog softvera iz vanjskog izvora bez izazivanja sumnje.
Uvođenje trojanaca i alata za udaljenu radnu površinu
Napadi u konačnici rezultiraju uvođenjem poznatih prijetnji, uključujući trojanac PEBBLEDASH i modificiranu verziju RDP Wrappera, alata otvorenog koda koji se koristi za udaljeni pristup radnoj površini. Uz njih, uveden je proxy zlonamjerni softver kako bi se osigurala kontinuirana veza između kompromitiranog uređaja i vanjske mreže napadača putem protokola udaljene radne površine (RDP).
Keylogger i forceCopy: ciljanje pohranjenih vjerodajnica
Kimsuky je također viđen kako koristi keylogger temeljen na PowerShell-u za hvatanje pritisaka na tipke, dodatno poboljšavajući njihovu sposobnost krađe osjetljivih informacija. Osim toga, novootkriveni zlonamjerni softver forceCopy posebno je dizajniran za izdvajanje datoteka pohranjenih u direktorijima web preglednika. Ovo sugerira pokušaj zaobilaženja sigurnosnih ograničenja i izravnog pristupa konfiguracijskim datotekama preglednika gdje se često pohranjuju vjerodajnice za prijavu.
Strateški pomak: korištenje RDP-a za kontrolu glavnog računala
Oslanjanje grupe na RDP Wrapper i proxy malware naglašava taktičku promjenu u njihovim operacijama. Prethodno je Kimsuky primarno koristio prilagođeno izrađena stražnja vrata za kontrolu zaraženih sustava. Sada, koristeći široko dostupne alate, cilj im je održati postojanost uz smanjenje mogućnosti otkrivanja.
APT43: Dugogodišnja prijetnja cyber špijunažom
Vjeruje se da Kimsuky, također poznat pod nadimcima kao što su APT43, Black Banshee i Emerald Sleet, djeluje pod Sjevernokorejskim glavnim uredom za izviđanje (RGB), vodećom stranom obavještajnom službom u zemlji. Aktivna najmanje od 2012., grupa ima dugu povijest izvođenja sofisticiranih napada društvenim inženjeringom kako bi zaobišla sigurnosnu obranu e-pošte.
Širenje operacija s ruskim phishing kampanjama
Nedavna otkrića pokazuju da je Kimsuky koristio phishing e-poruke poslane s ruskih usluga e-pošte za provođenje kampanja krađe vjerodajnica. Ova prilagodba, uočena u prosincu 2024., odražava taktiku grupe koja se razvija dok nastavlja usavršavati svoje tehnike društvenog inženjeringa kako bi ciljala na visokovrijedne pojedince i organizacije.
