ForceCopy Stealer
Ir atklāts, ka ar Ziemeļkoreju saistītais hakeru grupējums Kimsuky izmanto šķēpu pikšķerēšanas uzbrukumus, lai izplatītu jaunatklātu informācijas zagšanas ļaunprogrammatūru forceCopy. Šie uzbrukumi sākas ar pikšķerēšanas e-pastiem, kuros ir slēpts Windows saīsnes (LNK) fails, kas izveidots kā Microsoft Office vai PDF dokuments. Nenojauš adresāti, kuri neapzināti atver failu, izraisa ķēdes reakciju, kas izpilda ļaunprātīgas komandas.
Satura rādītājs
Leģitīmu rīku izmantošana, lai nogādātu bīstamas kravas
Kad lietotājs mijiedarbojas ar kaitīgo pielikumu, inficēšanās process sākas, izpildot PowerShell vai “mshta.exe” — likumīgu Windows utilītu, ko izmanto HTML lietojumprogrammu (HTA) failu palaišanai. Šis paņēmiens ļauj uzbrucējiem iegūt un izvietot papildu ļaunprātīgas programmatūras slodzes no ārēja avota, neradot aizdomas.
Trojas zirgu un attālās darbvirsmas rīku izvietošana
Uzbrukumi galu galā izraisa zināmu apdraudējumu izvietošanu, tostarp PEBBLEDASH Trojas zirgu un modificētu RDP Wrapper versiju — atvērtā pirmkoda rīku, ko izmanto attālai piekļuvei darbvirsmai. Līdzās tiem tiek ieviesta starpniekservera ļaunprātīga programmatūra, lai nodrošinātu nepārtrauktu savienojumu starp apdraudēto ierīci un uzbrucēja ārējo tīklu, izmantojot attālās darbvirsmas protokolu (RDP).
Keylogger un forceCopy: mērķēšana uz saglabātajiem akreditācijas datiem
Ir arī redzēts, ka Kimsuky izmanto uz PowerShell balstītu taustiņu reģistratoru, lai tvertu taustiņu nospiešanu, vēl vairāk uzlabojot viņu spēju nozagt sensitīvu informāciju. Turklāt jaunatklātā forceCopy ļaunprogrammatūra ir īpaši izstrādāta, lai iegūtu tīmekļa pārlūkprogrammas direktorijos saglabātos failus. Tas liecina par mēģinājumu apiet drošības ierobežojumus un tieši piekļūt pārlūkprogrammas konfigurācijas failiem, kuros bieži tiek glabāti pieteikšanās akreditācijas dati.
Stratēģiskā maiņa: LAP izmantošana resursdatora kontrolei
Grupas paļaušanās uz RDP Wrapper un starpniekservera ļaunprātīgu programmatūru izceļ taktiskās izmaiņas to darbībā. Iepriekš Kimsuky galvenokārt izmantoja īpaši izgatavotas aizmugures durvis, lai kontrolētu inficētās sistēmas. Tagad, izmantojot plaši pieejamos rīkus, to mērķis ir saglabāt noturību, vienlaikus samazinot atklāšanas iespējas.
APT43: ilgstošs kiberspiegošanas drauds
Tiek uzskatīts, ka Kimsuky, kas pazīstams arī ar tādiem aizstājvārdiem kā APT43, Black Banshee un Emerald Sleet, darbojas Ziemeļkorejas Izlūkošanas ģenerālbiroja (RGB) pakļautībā, kas ir valsts vadošais ārvalstu izlūkdienests. Grupai, kas darbojas vismaz kopš 2012. gada, ir sena vēsture sarežģītu sociālās inženierijas uzbrukumu veikšanā, lai apietu e-pasta drošības aizsardzību.
Darbību paplašināšana ar Krievijā bāzētām pikšķerēšanas kampaņām
Jaunākie atklājumi liecina, ka Kimsuky ir izmantojis pikšķerēšanas e-pastus, kas sūtīti no Krievijas e-pasta pakalpojumiem, lai īstenotu akreditācijas datu zādzības kampaņas. Šī adaptācija, kas tika novērota 2024. gada decembrī, atspoguļo grupas taktiku, kas attīstās, jo tā turpina pilnveidot savas sociālās inženierijas metodes, lai mērķētu uz augstvērtīgām personām un organizācijām.
