ForceCopy Stealer
Den Nord-Korea-tilknyttede hackergruppen Kimsuky har blitt funnet ved å bruke spyd-phishing-angrep for å distribuere en nylig identifisert informasjonsstjelende skadelig programvare kalt forceCopy. Disse angrepene begynner med phishing-e-poster som inneholder en forkledd Windows-snarveisfil (LNK), laget for å se ut som et Microsoft Office- eller PDF-dokument. Intetanende mottakere som åpner filen ubevisst setter i gang en kjedereaksjon som utfører ondsinnede kommandoer.
Innholdsfortegnelse
Utnytte legitime verktøy for å levere truende nyttelast
Når brukeren samhandler med det skadelige vedlegget, starter infeksjonsprosessen ved å kjøre PowerShell eller 'mshta.exe', et legitimt Windows-verktøy som brukes til å kjøre HTML-applikasjonsfiler (HTA). Denne teknikken lar angriperne hente og distribuere ytterligere skadelig programvare fra en ekstern kilde uten å vekke mistanke.
Utplassering av trojanere og verktøy for eksternt skrivebord
Angrepene resulterer til slutt i distribusjon av kjente trusler, inkludert PEBBLEDASH -trojaneren og en modifisert versjon av RDP Wrapper, et åpen kildekodeverktøy som brukes for ekstern skrivebordstilgang. Ved siden av disse introduseres proxy-malware for å sikre en kontinuerlig forbindelse mellom den kompromitterte enheten og angripernes eksterne nettverk via Remote Desktop Protocol (RDP).
En Keylogger og forceCopy: Målretting mot lagret legitimasjon
Kimsuky har også blitt sett å bruke en PowerShell-basert keylogger for å fange opp tastetrykk, noe som ytterligere forbedrer deres evne til å stjele sensitiv informasjon. I tillegg er den nylig oppdagede forceCopy-malwaren spesielt utviklet for å trekke ut filer som er lagret i nettleserkataloger. Dette antyder et forsøk på å omgå sikkerhetsbegrensninger og få direkte tilgang til nettleserkonfigurasjonsfiler der påloggingsinformasjon ofte er lagret.
Et strategisk skifte: Bruke RDP for vertskontroll
Gruppens avhengighet av RDP Wrapper og proxy-skadevare fremhever et taktisk skifte i deres operasjoner. Tidligere brukte Kimsuky primært spesialbygde bakdører for å kontrollere infiserte systemer. Nå, ved å utnytte allment tilgjengelige verktøy, har de som mål å opprettholde utholdenhet samtidig som de reduserer sjansene for oppdagelse.
APT43: En langvarig trussel om cyberspionasje
Kimsuky, også kjent under aliaser som APT43, Black Banshee og Emerald Sleet, antas å operere under Nord-Koreas Reconnaissance General Bureau (RGB), landets ledende utenlandske etterretningstjeneste. Gruppen har vært aktiv siden minst 2012, og har en lang historie med å utføre sofistikerte sosiale ingeniørangrep for å omgå e-postsikkerhetsforsvar.
Utvide driften med russisk-baserte phishing-kampanjer
Nylige funn indikerer at Kimsuky har brukt phishing-e-poster sendt fra russiske e-posttjenester for å gjennomføre legitimasjonstyverikampanjer. Denne tilpasningen, som ble observert i desember 2024, reflekterer gruppens utviklende taktikk når den fortsetter å foredle sine sosiale ingeniørteknikker for å målrette mot individer og organisasjoner med høy verdi.
