FPSpy ļaunprātīga programmatūra
Ar Ziemeļkoreju saistītas draudu grupas ir identificētas, izmantojot divus jaunizveidotus rīkus, kas pazīstami kā KLogEXE un FPSpy. Šī darbība ir saistīta ar apdraudējuma dalībnieku, kas tiek dēvēts par Kimsuky, kas tiek atpazīts arī ar tādiem aizstājvārdiem kā APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (agrāk Tallium), Sparkling Pisces, Springtail un Velvet Chollima. Šie jaunie rīki paplašina jau tā ievērojamo dzirkstošo Zivju rīku komplektu, atspoguļojot grupas pastāvīgo attīstību un pieaugošo izsmalcinātību.
Satura rādītājs
Izsmalcināts draudu aktieris, kas darbojas vairāk nekā desmit gadus
Aktīvs vismaz kopš 2012. gada, draudu aktieris tiek saukts par “žepveida pikšķerēšanas karali”, jo tas spēj mānīt upurus, lai viņi lejupielādētu ļaunprātīgu programmatūru, nosūtot e-pasta ziņojumus, kas liek domāt, ka tie ir no uzticamām personām. Pētnieku veiktā Kimsuki infrastruktūras analīze ir atklājusi divus jaunus portatīvos izpildāmos failus, kas tiek dēvēti par KLogEXE un FPSpy.
Ir zināms, ka šie ļaunprātīgās programmatūras celmi tiek piegādāti galvenokārt ar pikšķerēšanas uzbrukumiem. Pamatojoties uz pieejamo informāciju, šķiet, ka šīs kampaņas ļaunie operatori dod priekšroku sociālās inženierijas uzbrukumiem pikšķerēšanas e-pasta ziņojumu veidā, kas tiek nosūtīti viņu mērķiem.
Šiem rūpīgi izstrādātajiem e-pasta ziņojumiem ir valoda, kas paredzēta, lai piesaistītu mērķauditorijas e-pasta ziņojumam pievienotā ZIP faila lejupielādi. Mērķi bieži tiek mudināti izvilkt bojātus failus, kas pēc izpildes izsauc infekcijas ķēdi, galu galā piegādājot šos ļaunprātīgas programmatūras celmus.
FPSpy ir aprīkots ar daudzām invazīvām iespējām
Tiek uzskatīts, ka FPSpy ir aizmugures durvju variants, ko AhnLab pirmo reizi atklāja 2022. gadā, parādot līdzības ar apdraudējumu, ko Cybereason dokumentēja ar nosaukumu KGH_SPY 2020. gada beigās. FPSpy ir paredzēts ne tikai taustiņu reģistrēšanai, bet arī sistēmas informācijas apkopošanai, papildu lietderīgās slodzes lejupielādei un izvietošanai. izpildīt patvaļīgas komandas un skenēt diskus, mapes un failus apdraudētajā sistēmā.
Tikmēr KLogExe, vēl viens nesen identificēts drauds, ir C++ adaptācija PowerShell balstītam taustiņu reģistratoram ar nosaukumu InfoKey, ko iepriekš atzīmēja JPCERT/CC Kimsuky kampaņā, kuras mērķauditorija ir Japānas vienības. Šis rīks ir aprīkots, lai uztvertu un izfiltrētu datus par aktīvajām lietojumprogrammām, taustiņsitieniem un peles kustībām ietekmētajā iekārtā.
Ļoti mērķtiecīga uzbrukuma kampaņa
Kiberdrošības eksperti ir atklājuši līdzības gan KLogExe, gan FPSpy pirmkodā, norādot, ka tos, iespējams, ir izstrādājis viens un tas pats autors. Lai gan Kimsuky ir mērķējis uz dažādiem reģioniem un nozarēm, šī konkrētā kampaņa, šķiet, ir vērsta uz organizācijām Japānā un Dienvidkorejā.
Ņemot vērā šo operāciju mērķtiecīgo un selektīvo raksturu, pētnieki ir secinājuši, ka kampaņa, visticamāk, nebūs plaši izplatīta. Tā vietā šķiet, ka tas attiecas tikai uz noteiktām nozarēm un galvenokārt attiecas tikai uz Japānu un Dienvidkoreju.
