FPSpy kenkėjiška programa
Su Šiaurės Korėja susijusios grėsmių grupės buvo nustatytos naudojant du naujai sukurtus įrankius, žinomus kaip KLogEXE ir FPSpy. Ši veikla buvo susijusi su grėsmių veikėju, vadinamu Kimsuky, taip pat atpažįstamu tokiais slapyvardžiais kaip APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anksčiau Tallium), Sparkling Pisces, Springtail ir Velvet Chollima. Šios naujos priemonės išplečia ir taip nemažą „Sparkling Pisces“ įrankių rinkinį, atspindintį nuolatinę grupės evoliuciją ir augantį rafinuotumą.
Turinys
Sudėtingas grėsmių aktorius, veikiantis daugiau nei dešimtmetį
Aktyvus mažiausiai nuo 2012 m., grėsmių veikėjas buvo vadinamas "smeigtuko sukčiavimo karaliumi" dėl sugebėjimo priversti aukas atsisiųsti kenkėjiškų programų, siunčiant el. laiškus, iš kurių atrodo, kad jos yra iš patikimų šalių. Tyrėjų atlikta Kimsuki infrastruktūros analizė atskleidė du naujus nešiojamus vykdomuosius failus, vadinamus KLogEXE ir FPSpy.
Yra žinoma, kad šios kenkėjiškų programų padermės pirmiausia perduodamos per sukčiavimo sukčiavimo atakas. Remiantis turima informacija, atrodo, kad piktieji šios kampanijos operatoriai pirmenybę teikia socialinės inžinerijos atakoms, siunčiamoms jų taikiniams siunčiamų el. laiškų forma.
Šie kruopščiai sukurti el. laiškai turi kalbą, skirtą privilioti taikinius atsisiųsti prie el. laiško pridėtą ZIP failą. Taikiniai dažnai skatinami išgauti sugadintus failus, kuriuos vykdydami iškviečiama užkrėtimo grandinė ir galiausiai perduodamos šios kenkėjiškos programos.
FPSpy yra aprūpintas daugybe invazinių galimybių
Manoma, kad FPSpy yra užpakalinių durų, pirmą kartą atskleistų AhnLab 2022 m., variantas, rodantis panašumų su grėsme, kurią Cybereason dokumentavo pavadinimu KGH_SPY 2020 m. pabaigoje. Be klavišų registravimo, FPSpy yra skirtas rinkti sistemos informaciją, atsisiųsti ir įdiegti papildomus naudingus krovinius, vykdyti savavališkas komandas ir nuskaityti pažeistoje sistemoje esančius diskus, aplankus ir failus.
Tuo tarpu KLogExe, kita naujai nustatyta grėsmė, yra C++ adaptacija PowerShell pagrįsto klavišų kaupiklio pavadinimu InfoKey, anksčiau pažymėtą JPCERT/CC Kimsuky kampanijoje, skirtoje Japonijos subjektams. Šis įrankis skirtas užfiksuoti ir išfiltruoti duomenis apie aktyvias programas, klavišų paspaudimus ir pelės judesius paveiktame įrenginyje.
Labai tikslinga puolimo kampanija
Kibernetinio saugumo ekspertai nustatė panašumų tiek KLogExe, tiek FPSpy šaltinio koduose, o tai rodo, kad juos greičiausiai sukūrė tas pats autorius. Nors Kimsuky seniai taikėsi į įvairius regionus ir sektorius, atrodo, kad ši kampanija yra orientuota į Japonijos ir Pietų Korėjos organizacijas.
Atsižvelgiant į tikslinį ir selektyvų šių operacijų pobūdį, mokslininkai padarė išvadą, kad kampanija greičiausiai nebus plačiai paplitusi. Vietoj to, atrodo, kad jis apsiriboja konkrečiomis pramonės šakomis ir visų pirma Japonija ir Pietų Korėja.
