FPSpy zlonamjerni softver
Skupine prijetnji povezane sa Sjevernom Korejom identificirane su korištenjem dvaju novorazvijenih alata poznatih kao KLogEXE i FPSpy. Ova je aktivnost povezana s prijetnjom koja se naziva Kimsuky, također prepoznatom pod aliasima kao što su APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (bivši Thallium), Sparkling Pisces, Springtail i Velvet Chollima. Ovi svježi alati proširuju već značajan skup alata Sparkling Pisces, odražavajući stalnu evoluciju grupe i rastuću sofisticiranost.
Sadržaj
Sofisticirani akter prijetnji koji radi više od desetljeća
Aktivan najmanje od 2012., prijetnja je nazvana 'kraljem spear phishinga' zbog svoje sposobnosti da prevari žrtve da preuzmu zlonamjerni softver slanjem e-poruka koje izgledaju kao da dolaze od pouzdanih strana. Istraživačka analiza Kimsukijeve infrastrukture otkrila je dvije nove prijenosne izvršne datoteke koje se nazivaju KLogEXE i FPSpy.
Poznato je da se ti tipovi zlonamjernog softvera prvenstveno isporučuju putem spear-phishing napada. Na temelju dostupnih informacija, čini se da zli operateri ove kampanje favoriziraju napade društvenog inženjeringa u obliku lažnih e-mailova koji se šalju njihovim metama."
Ove pažljivo izrađene e-poruke imaju jezik koji je osmišljen kako bi namamio mete da preuzmu ZIP datoteku priloženu e-pošti. Ciljevi se često potiču da izvuku oštećene datoteke, koje nakon izvršenja pokreću lanac infekcije – na kraju isporučujući ove sorte zlonamjernog softvera.
FPSpy je opremljen brojnim invazivnim mogućnostima
Vjeruje se da je FPSpy varijanta backdoor-a koju je AhnLab prvi razotkrio 2022., pokazujući sličnosti s prijetnjom koju je dokumentirao Cybereason pod imenom KGH_SPY krajem 2020. Osim keylogginga, FPSpy je dizajniran za prikupljanje pojedinosti o sustavu, preuzimanje i postavljanje dodatnih korisnih opterećenja, izvršavati proizvoljne naredbe i skenirati pogone, mape i datoteke na ugroženom sustavu.
U međuvremenu, KLogExe, još jedna novootkrivena prijetnja, je C++ adaptacija keyloggera temeljenog na PowerShell-u pod nazivom InfoKey, koji je prethodno označio JPCERT/CC u Kimsuky kampanji usmjerenoj na japanske entitete. Ovaj je alat opremljen za hvatanje i ekstrakciju podataka o aktivnim aplikacijama, pritiscima tipki i pokretima miša na pogođenom računalu.
Visoko ciljana napadačka kampanja
Stručnjaci za kibernetičku sigurnost identificirali su sličnosti u izvornom kodu KLogExe i FPSpy, što ukazuje da ih je vjerojatno razvio isti autor. Dok Kimsuky ima povijest ciljanja na različite regije i sektore, čini se da je ova kampanja usmjerena na organizacije u Japanu i Južnoj Koreji.
S obzirom na ciljanu i selektivnu prirodu ovih operacija, istraživači su zaključili da kampanja vjerojatno neće biti široko rasprostranjena. Umjesto toga, čini se da je ograničen na određene industrije i prvenstveno na Japan i Južnu Koreju.
