forceCopy Stealer
Il gruppo di hacker Kimsuky, legato alla Corea del Nord, è stato scoperto a usare attacchi di spear-phishing per distribuire un malware di furto di informazioni di recente identificazione chiamato forceCopy. Questi attacchi iniziano con e-mail di phishing che contengono un file di collegamento di Windows (LNK) camuffato, fatto apparire come un documento Microsoft Office o PDF. I destinatari ignari che aprono il file senza saperlo innescano una reazione a catena che esegue comandi dannosi.
Sommario
Sfruttare strumenti legittimi per distribuire carichi minacciosi
Una volta che l'utente interagisce con l'allegato dannoso, il processo di infezione inizia eseguendo PowerShell o 'mshta.exe', un'utilità Windows legittima utilizzata per eseguire file HTML Application (HTA). Questa tecnica consente agli aggressori di recuperare e distribuire payload malware aggiuntivi da una fonte esterna senza destare sospetti.
Distribuzione di trojan e strumenti per desktop remoto
Gli attacchi alla fine si traducono nell'impiego di minacce note, tra cui il trojan PEBBLEDASH e una versione modificata di RDP Wrapper, uno strumento open source utilizzato per l'accesso remoto al desktop. Accanto a questi, viene introdotto un malware proxy per garantire una connessione continua tra il dispositivo compromesso e la rete esterna degli aggressori tramite Remote Desktop Protocol (RDP).
Un Keylogger e forceCopy: Targeting delle credenziali archiviate
Kimsuky è stato anche visto usare un keylogger basato su PowerShell per catturare le sequenze di tasti, migliorando ulteriormente la sua capacità di rubare informazioni sensibili. Inoltre, il malware forceCopy appena scoperto è specificamente progettato per estrarre file archiviati nelle directory del browser Web. Ciò suggerisce un tentativo di aggirare le restrizioni di sicurezza e accedere direttamente ai file di configurazione del browser in cui spesso vengono archiviate le credenziali di accesso.
Un cambiamento strategico: utilizzo di RDP per il controllo host
L'affidamento del gruppo a RDP Wrapper e al malware proxy evidenzia un cambiamento tattico nelle loro operazioni. In precedenza, Kimsuky utilizzava principalmente backdoor personalizzate per controllare i sistemi infetti. Ora, sfruttando strumenti ampiamente disponibili, mirano a mantenere la persistenza riducendo al contempo le possibilità di rilevamento.
APT43: una minaccia di spionaggio informatico di lunga data
Kimsuky, noto anche con alias come APT43, Black Banshee ed Emerald Sleet, si ritiene operi sotto il Reconnaissance General Bureau (RGB) della Corea del Nord, il principale servizio di intelligence estera del paese. Attivo almeno dal 2012, il gruppo ha una lunga storia di esecuzione di sofisticati attacchi di ingegneria sociale per aggirare le difese di sicurezza della posta elettronica.
Espansione delle operazioni con campagne di phishing basate in Russia
Recenti scoperte indicano che Kimsuky ha utilizzato e-mail di phishing inviate da servizi di posta elettronica russi per condurre campagne di furto di credenziali. Questo adattamento, osservato nel dicembre 2024, riflette le tattiche in evoluzione del gruppo mentre continua a perfezionare le sue tecniche di ingegneria sociale per colpire individui e organizzazioni di alto valore.
