Malware FPSpy
Sono stati identificati gruppi di minacce collegati alla Corea del Nord utilizzando due nuovi strumenti sviluppati, noti come KLogEXE e FPSpy. Questa attività è stata collegata a un attore di minacce denominato Kimsuky, riconosciuto anche con alias quali APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ex Thallium), Sparkling Pisces, Springtail e Velvet Chollima. Questi nuovi strumenti ampliano il già considerevole kit di strumenti di Sparkling Pisces, riflettendo l'evoluzione in corso del gruppo e la sua crescente sofisticatezza.
Sommario
Un attore di minacce sofisticato che opera da oltre un decennio
Attivo almeno dal 2012, l'attore della minaccia è stato definito il "re dello spear phishing" per la sua capacità di ingannare le vittime inducendole a scaricare malware inviando e-mail che sembrano provenire da soggetti fidati. L'analisi dei ricercatori dell'infrastruttura di Kimsuki ha scoperto due nuovi eseguibili portatili denominati KLogEXE e FPSpy.
È noto che questi ceppi di malware vengono trasmessi principalmente tramite attacchi di spear-phishing. Sulla base delle informazioni disponibili, sembra che gli operatori malvagi di questa campagna preferiscano attacchi di ingegneria sociale sotto forma di e-mail di spear-phishing inviate ai loro obiettivi."
Queste email attentamente elaborate hanno un linguaggio progettato per indurre i bersagli a scaricare un file ZIP allegato all'email. I bersagli sono spesso incoraggiati a estrarre file corrotti, che una volta eseguiti invocano la catena di infezione, che alla fine distribuisce questi ceppi di malware.
FPSpy è dotato di numerose capacità invasive
Si ritiene che FPSpy sia una variante di una backdoor esposta per la prima volta da AhnLab nel 2022, che mostra somiglianze con una minaccia documentata da Cybereason con il nome KGH_SPY alla fine del 2020. Oltre al keylogging, FPSpy è progettato per raccogliere dettagli di sistema, scaricare e distribuire payload aggiuntivi, eseguire comandi arbitrari ed eseguire la scansione di unità, cartelle e file sul sistema compromesso.
Nel frattempo, KLogExe, un'altra minaccia recentemente identificata, è un adattamento C++ di un keylogger basato su PowerShell chiamato InfoKey, precedentemente segnalato da JPCERT/CC in una campagna Kimsuky mirata a entità giapponesi. Questo strumento è equipaggiato per catturare ed esfiltrare dati su applicazioni attive, sequenze di tasti e movimenti del mouse sulla macchina interessata.
Una campagna di attacco altamente mirata
Gli esperti di sicurezza informatica hanno identificato delle somiglianze nel codice sorgente di KLogExe e FPSpy, indicando che sono probabilmente sviluppati dallo stesso autore. Mentre Kimsuky ha una storia di attacchi a varie regioni e settori, questa particolare campagna sembra focalizzata su organizzazioni in Giappone e Corea del Sud.
Data la natura mirata e selettiva di queste operazioni, i ricercatori hanno concluso che è improbabile che la campagna sia diffusa. Invece, sembra confinata a settori specifici e limitata principalmente a Giappone e Corea del Sud.
