ForceCopy Stealer
Kumpulan penggodam Kimsuky yang berkaitan dengan Korea Utara telah didapati menggunakan serangan pancingan lembing untuk mengedarkan perisian hasad mencuri maklumat yang baru dikenal pasti dipanggil forceCopy. Serangan ini bermula dengan e-mel pancingan data yang mengandungi fail pintasan Windows (LNK) yang disamarkan, dibuat untuk kelihatan seperti dokumen Microsoft Office atau PDF. Penerima yang tidak mengesyaki yang membuka fail tanpa disedari mencetuskan tindak balas berantai yang melaksanakan perintah berniat jahat.
Isi kandungan
Mengeksploitasi Alat Sah untuk Menyampaikan Muatan Mengancam
Setelah pengguna berinteraksi dengan lampiran berbahaya, proses jangkitan bermula dengan melaksanakan PowerShell atau 'mshta.exe,' utiliti Windows yang sah yang digunakan untuk menjalankan fail Aplikasi HTML (HTA). Teknik ini membolehkan penyerang mengambil dan menggunakan muatan perisian hasad tambahan daripada sumber luaran tanpa menimbulkan syak wasangka.
Menggunakan Trojan dan Alat Desktop Jauh
Serangan akhirnya mengakibatkan penggunaan ancaman yang diketahui, termasuk Trojan PEBBLEDASH dan versi diubah suai RDP Wrapper, alat sumber terbuka yang digunakan untuk akses desktop jauh. Di samping itu, perisian hasad proksi diperkenalkan untuk memastikan sambungan berterusan antara peranti yang terjejas dan rangkaian luaran penyerang melalui Remote Desktop Protocol (RDP).
Keylogger dan forceCopy: Menyasarkan Bukti Kelayakan Tersimpan
Kimsuky juga telah dilihat menggunakan keylogger berasaskan PowerShell untuk menangkap ketukan kekunci, meningkatkan lagi keupayaan mereka untuk mencuri maklumat sensitif. Selain itu, malware forceCopy yang baru ditemui direka khusus untuk mengekstrak fail yang disimpan dalam direktori penyemak imbas web. Ini mencadangkan percubaan untuk memintas sekatan keselamatan dan mengakses terus fail konfigurasi penyemak imbas di mana bukti kelayakan log masuk sering disimpan.
Anjakan Strategik: Menggunakan RDP untuk Kawalan Hos
Pergantungan kumpulan pada RDP Wrapper dan perisian hasad proksi menyerlahkan anjakan taktikal dalam operasi mereka. Sebelum ini, Kimsuky terutamanya menggunakan pintu belakang yang dibina khas untuk mengawal sistem yang dijangkiti. Kini, dengan memanfaatkan alatan yang tersedia secara meluas, mereka menyasarkan untuk mengekalkan kegigihan sambil mengurangkan peluang pengesanan.
APT43: Ancaman Pengintipan Siber Lama
Kimsuky, juga dikenali dengan alias seperti APT43, Black Banshee, dan Emerald Sleet, dipercayai beroperasi di bawah Biro Am Peninjau (RGB) Korea Utara, perkhidmatan perisikan asing terkemuka di negara itu. Aktif sejak sekurang-kurangnya 2012, kumpulan itu mempunyai sejarah panjang dalam melaksanakan serangan kejuruteraan sosial yang canggih untuk memintas pertahanan keselamatan e-mel.
Memperluas Operasi dengan Kempen Phishing Berasaskan Rusia
Penemuan terbaru menunjukkan bahawa Kimsuky telah menggunakan e-mel pancingan data yang dihantar daripada perkhidmatan e-mel Rusia untuk menjalankan kempen kecurian bukti kelayakan. Penyesuaian ini, diperhatikan pada Disember 2024, mencerminkan taktik kumpulan yang berkembang apabila ia terus memperhalusi teknik kejuruteraan sosialnya untuk menyasarkan individu dan organisasi yang bernilai tinggi.
