Perisian Hasad FPSpy
Kumpulan ancaman yang dikaitkan dengan Korea Utara telah dikenal pasti menggunakan dua alat yang baru dibangunkan dikenali sebagai KLogEXE dan FPSpy. Aktiviti ini telah disambungkan kepada pelakon ancaman yang dirujuk sebagai Kimsuky, juga dikenali di bawah alias seperti APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dahulunya Thallium), Sparkling Pisces, Springtail dan Velvet Chollima. Alat baharu ini mengembangkan kit alat Sparkling Pisces yang sudah banyak, mencerminkan evolusi berterusan kumpulan dan kecanggihan yang semakin meningkat.
Isi kandungan
Seorang Pelakon Ancaman Canggih Beroperasi Selama Lebih Sedekad
Aktif sejak sekurang-kurangnya 2012, pelakon ancaman itu telah digelar 'raja pancingan lembing' kerana keupayaannya memperdaya mangsa untuk memuat turun perisian hasad dengan menghantar e-mel yang menjadikannya kelihatan seperti mereka daripada pihak yang dipercayai. Analisis penyelidik terhadap infrastruktur Kimsuki telah menemui dua boleh laku mudah alih baharu yang dirujuk sebagai KLogEXE dan FPSpy.
Jenis malware ini diketahui dihantar terutamanya melalui serangan pancingan lembing. Berdasarkan maklumat yang ada, nampaknya pengendali jahat kempen ini menyukai serangan kejuruteraan sosial dalam bentuk e-mel spear-phishing yang dihantar kepada sasaran mereka."
E-mel yang direka dengan teliti ini mempunyai bahasa yang direka untuk menarik sasaran supaya memuat turun fail ZIP yang dilampirkan pada e-mel. Sasaran sering digalakkan untuk mengekstrak fail yang rosak, yang apabila dilaksanakan menggunakan rantaian jangkitan - akhirnya menyampaikan jenis perisian hasad ini.
FPSpy Dilengkapi dengan Pelbagai Keupayaan Invasif
FPSpy dipercayai sebagai varian pintu belakang yang pertama kali didedahkan oleh AhnLab pada 2022, menunjukkan persamaan dengan ancaman yang didokumenkan oleh Cybereason di bawah nama KGH_SPY pada akhir 2020. Di luar pengelogan kunci, FPSpy direka untuk mengumpul butiran sistem, memuat turun dan menggunakan muatan tambahan, laksanakan arahan sewenang-wenangnya, dan imbas pemacu, folder dan fail pada sistem yang terjejas.
Sementara itu, KLogExe, satu lagi ancaman yang baru dikenal pasti, ialah penyesuaian C++ bagi keylogger berasaskan PowerShell yang dipanggil InfoKey, yang sebelum ini dibenderakan oleh JPCERT/CC dalam kempen Kimsuky yang menyasarkan entiti Jepun. Alat ini dilengkapi untuk menangkap dan mengeluarkan data tentang aplikasi aktif, ketukan kekunci dan pergerakan tetikus pada mesin yang terjejas.
Kempen Serangan Bersasaran Tinggi
Pakar keselamatan siber telah mengenal pasti persamaan dalam kod sumber kedua-dua KLogExe dan FPSpy, menunjukkan bahawa ia berkemungkinan dibangunkan oleh pengarang yang sama. Walaupun Kimsuky mempunyai sejarah menyasarkan pelbagai wilayah dan sektor, kempen khusus ini nampaknya tertumpu pada organisasi di Jepun dan Korea Selatan.
Memandangkan sifat operasi yang disasarkan dan terpilih, para penyelidik telah membuat kesimpulan bahawa kempen itu tidak mungkin meluas. Sebaliknya, ia kelihatan terhad kepada industri tertentu dan terhad terutamanya kepada Jepun dan Korea Selatan.
