FPSpy 맬웨어

북한과 관련된 위협 그룹은 KLogEXE와 FPSpy라는 두 가지 새롭게 개발된 도구를 활용하여 식별되었습니다. 이 활동은 APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet(이전 Thallium), Sparkling Pisces, Springtail 및 Velvet Chollima와 같은 별칭으로도 알려진 Kimsuky라는 위협 행위자와 연결되었습니다. 이러한 새로운 도구는 Sparkling Pisces의 이미 상당한 툴킷을 확장하여 그룹의 지속적인 진화와 증가하는 정교함을 반영합니다.

10년 이상 운영된 정교한 위협 행위자

적어도 2012년부터 활동한 이 위협 행위자는 신뢰할 수 있는 당사자에게서 온 것처럼 보이는 이메일을 보내 피해자를 속여 맬웨어를 다운로드하게 하는 능력 때문에 '스피어 피싱의 왕'이라고 불립니다. 연구원들이 Kimsuki의 인프라를 분석한 결과 KLogEXE와 FPSpy라는 두 개의 새로운 휴대용 실행 파일이 발견되었습니다.

이러한 맬웨어 변종은 주로 스피어 피싱 공격을 통해 전달되는 것으로 알려져 있습니다. 이용 가능한 정보에 따르면, 이 캠페인의 사악한 운영자는 대상에게 보내는 스피어 피싱 이메일의 형태로 사회 공학 공격을 선호하는 것으로 보입니다."

이렇게 신중하게 만들어진 이메일에는 타겟이 이메일에 첨부된 ZIP 파일을 다운로드하도록 유인하도록 설계된 언어가 있습니다. 타겟은 종종 손상된 파일을 추출하도록 권장받으며, 실행 시 감염 체인을 호출하여 결국 이러한 맬웨어 변종을 전달합니다.

FPSpy는 수많은 침입 기능을 갖추고 있습니다

FPSpy는 AhnLab이 2022년에 처음 노출시킨 백도어의 변종으로 여겨지며, Cybereason이 2020년 후반에 KGH_SPY라는 이름으로 문서화한 위협과 유사성을 보입니다. FPSpy는 키로깅 외에도 시스템 세부 정보를 수집하고, 추가 페이로드를 다운로드하고 배포하고, 임의의 명령을 실행하고, 손상된 시스템의 드라이브, 폴더 및 파일을 검사하도록 설계되었습니다.

한편, 새롭게 식별된 또 다른 위협인 KLogExe는 InfoKey라는 PowerShell 기반 키로거의 C++ 버전이며, 이전에는 JPCERT/CC가 일본 기관을 대상으로 한 Kimsuky 캠페인에서 플래그를 지정했습니다. 이 도구는 영향을 받는 컴퓨터에서 활성 애플리케이션, 키 입력 및 마우스 움직임에 대한 데이터를 캡처하고 빼낼 수 있도록 설계되었습니다.

매우 집중적인 공격 캠페인

사이버 보안 전문가들은 KLogExe와 FPSpy의 소스 코드에서 유사점을 발견했는데, 이는 두 가지가 같은 저자가 개발한 것일 가능성이 높다는 것을 나타냅니다. Kimsuky는 다양한 지역과 부문을 표적으로 삼은 적이 있지만, 이 특정 캠페인은 일본과 한국의 조직에 초점을 맞춘 것으로 보입니다.

이러한 작전의 표적화되고 선택적인 성격을 감안할 때, 연구자들은 이 캠페인이 광범위하게 확산될 가능성은 낮다고 결론지었습니다. 대신, 특정 산업에 국한되고 주로 일본과 한국에 국한된 것으로 보입니다.