ForceCopy Stealer
Az Észak-Koreához köthető Kimsuky hackercsoportot lándzsás adathalász támadásokkal találták meg egy újonnan azonosított, információlopó, forceCopy nevű kártevő terjesztésére. Ezek a támadások olyan adathalász e-mailekkel kezdődnek, amelyek álcázott Windows-parancsikon (LNK) fájlt tartalmaznak, és Microsoft Office- vagy PDF-dokumentumként jelennek meg. A gyanútlan címzettek, akik tudtukon kívül megnyitják a fájlt, rosszindulatú parancsokat végrehajtó láncreakciót indítanak el.
Tartalomjegyzék
Jogos eszközök kihasználása fenyegető rakományok szállítására
Amint a felhasználó kapcsolatba lép a káros melléklettel, a fertőzési folyamat a PowerShell vagy az „mshta.exe” futtatásával kezdődik, amely egy legitim Windows-segédprogram, amelyet HTML Application (HTA) fájlok futtatására használnak. Ez a technika lehetővé teszi a támadók számára, hogy további rosszindulatú programokat töltsenek le és telepítsenek külső forrásból gyanú nélkül.
Trójai programok és távoli asztali eszközök telepítése
A támadások végül ismert fenyegetések telepítését eredményezik, beleértve a PEBBLEDASH trójai programot és az RDP Wrapper módosított változatát, amely egy nyílt forráskódú eszköz a távoli asztali hozzáféréshez. Ezek mellett bevezetik a proxy-malware-t, hogy a távoli asztali protokollon (RDP) keresztül folyamatos kapcsolatot biztosítsanak a feltört eszköz és a támadók külső hálózata között.
A Keylogger és a forceCopy: Tárolt hitelesítő adatok célzása
Kimsukyt PowerShell-alapú keyloggerrel is látták a billentyűleütések rögzítésére, tovább javítva ezzel az érzékeny információk ellopásának képességét. Ezenkívül az újonnan felfedezett forceCopy kártevőt kifejezetten a webböngésző könyvtáraiban tárolt fájlok kibontására tervezték. Ez arra utal, hogy megpróbálják megkerülni a biztonsági korlátozásokat, és közvetlenül hozzáférni a böngésző konfigurációs fájljaihoz, amelyekben gyakran tárolják a bejelentkezési adatokat.
Stratégiai váltás: RDP használata a gazdagép vezérlésére
Az, hogy a csoport az RDP Wrapperre és a proxy malware-re támaszkodik, rávilágít a taktikai váltásra a műveleteikben. Korábban Kimsuky elsősorban egyedi gyártású hátsó ajtókat használt a fertőzött rendszerek ellenőrzésére. Most, a széles körben elérhető eszközök kihasználásával, célja a kitartás fenntartása, miközben csökkentik az észlelés esélyét.
APT43: Régóta fennálló kiberkémkedési fenyegetés
Kimsuky, akit olyan álnevekkel is ismernek, mint az APT43, a Black Banshee és az Emerald Sleet, feltehetően az észak-koreai Reconnaissance General Bureau (RGB), az ország vezető külföldi hírszerző szolgálata alatt működik. A legalább 2012 óta működő csoport hosszú múltra tekint vissza a kifinomult social engineering támadások végrehajtásában, hogy megkerülje az e-mail biztonsági védelmet.
Műveletek bővítése orosz alapú adathalász kampányokkal
A legújabb eredmények azt mutatják, hogy Kimsuky az orosz e-mail szolgáltatásoktól küldött adathalász e-maileket használt fel hitelesítő adatlopási kampányok végrehajtására. Ez a 2024 decemberében megfigyelt adaptáció a csoport fejlődő taktikáit tükrözi, miközben továbbra is finomítja social engineering technikáit, hogy megcélozza a nagy értékű egyéneket és szervezeteket.
