FPSpy Malware
Az Észak-Koreához köthető fenyegető csoportokat két újonnan kifejlesztett, KLogEXE és FPSpy néven ismert eszköz segítségével azonosították. Ezt a tevékenységet a Kimsuky néven emlegetett fenyegetés szereplőjéhez kapcsolták, és olyan álneveken is ismertek, mint az APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (korábban Tallium), Sparkling Pisces, Springtail és Velvet Chollima. Ezek a friss eszközök bővítik a Sparkling Pisces már amúgy is jelentős eszköztárát, tükrözve a csoport folyamatos fejlődését és növekvő kifinomultságát.
Tartalomjegyzék
Több mint egy évtizede működő kifinomult fenyegetőző színész
A legalább 2012 óta tevékenykedő fenyegetőzőt a „lándzsás adathalászat királyának” nevezik, mert képes rávenni az áldozatokat rosszindulatú programok letöltésére oly módon, hogy olyan e-maileket küld, amelyekből úgy tűnik, hogy megbízható felektől származnak. A kutatók a Kimsuki infrastruktúrájának elemzése során két új hordozható futtatható fájlt fedeztek fel, amelyeket KLogEXE és FPSpy néven említenek.
Ismeretes, hogy ezek a rosszindulatú programtörzsek elsősorban adathalász támadásokon keresztül jutnak el. A rendelkezésre álló információk alapján úgy tűnik, hogy a kampány gonosz üzemeltetői a social engineering támadásokat részesítik előnyben a célpontjaiknak küldött adathalász e-mailek formájában."
Ezeknek a gondosan kidolgozott e-maileknek olyan nyelve van, amely arra készteti a célszemélyeket, hogy töltsenek le egy, az e-mailhez csatolt ZIP-fájlt. A célpontokat gyakran arra ösztönzik, hogy bontsanak ki sérült fájlokat, amelyek végrehajtásukkor meghívják a fertőzési láncot, és végül továbbítják ezeket a rosszindulatú programtörzseket.
Az FPSpy számos invazív képességgel van felszerelve
Az FPSpy vélhetően az AhnLab által 2022-ben először bemutatott hátsó ajtó változata, amely hasonlóságot mutat a Cybereason által 2020 végén KGH_SPY néven dokumentált fenyegetéssel. A kulcsnaplózáson túl az FPSpy a rendszer részleteinek összegyűjtésére, további hasznos terhelések letöltésére és telepítésére szolgál, tetszőleges parancsokat hajthat végre, és meghajtókat, mappákat és fájlokat vizsgálhat meg a feltört rendszeren.
Eközben a KLogExe, egy másik újonnan azonosított fenyegetés, az InfoKey nevű PowerShell-alapú keylogger C++ adaptációja, amelyet korábban a JPCERT/CC jelölt meg egy japán entitásokat célzó Kimsuky kampányban. Ez az eszköz alkalmas arra, hogy rögzítse és kiszűrje az érintett gépen lévő aktív alkalmazásokról, billentyűleütésekről és egérmozgásokról szóló adatokat.
Egy erősen célzott támadási kampány
A kiberbiztonsági szakértők hasonlóságokat azonosítottak a KLogExe és az FPSpy forráskódjában, ami azt jelzi, hogy valószínűleg ugyanaz a szerző fejlesztette ki. Míg Kimsuky története során különböző régiókat és szektorokat céloz meg, úgy tűnik, hogy ez a kampány a japán és dél-koreai szervezetekre összpontosít.
Tekintettel ezeknek a műveleteknek a célzott és szelektív jellegére, a kutatók arra a következtetésre jutottak, hogy a kampány valószínűleg nem lesz széles körben elterjedt. Ehelyett úgy tűnik, hogy bizonyos iparágakra korlátozódik, és elsősorban Japánra és Dél-Koreára korlátozódik.
