FPSpy skadelig programvare
Trusselgrupper knyttet til Nord-Korea har blitt identifisert ved å bruke to nyutviklede verktøy kjent som KLogEXE og FPSpy. Denne aktiviteten har blitt koblet til en trusselaktør referert til som Kimsuky, også anerkjent under aliaser som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), Sparkling Pisces, Springtail og Velvet Chollima. Disse ferske verktøyene utvider det allerede betydelige verktøysettet til Sparkling Pisces, og gjenspeiler gruppens pågående utvikling og økende sofistikering.
Innholdsfortegnelse
En sofistikert trusselskuespiller som har operert i over et tiår
Trusselaktøren har vært aktiv siden minst 2012, og har blitt kalt 'kongen av spydfiske' for sin evne til å lure ofre til å laste ned skadelig programvare ved å sende e-poster som får det til å virke som de er fra pålitelige parter. Forskeres analyse av Kimsukis infrastruktur har avdekket to nye bærbare kjørbare filer referert til som KLogEXE og FPSpy.
Disse skadevarestammene er kjent for å bli levert primært via spear-phishing-angrep. Basert på den tilgjengelige informasjonen, ser det ut til at de onde operatørene av denne kampanjen favoriserer angrep fra sosialt ingeniørarbeid i form av spyd-phishing-e-poster sendt til deres mål."
Disse nøye utformede e-postene har et språk designet for å lokke målene til å laste ned en ZIP-fil vedlagt e-posten. Målene oppfordres ofte til å trekke ut korrupte filer, som ved utførelse påkaller infeksjonskjeden – til slutt leverer disse skadevarestammene.
FPSpy er utstyrt med en rekke invasive muligheter
FPSpy antas å være en variant av en bakdør først avslørt av AhnLab i 2022, og viser likheter med en trussel dokumentert av Cybereason under navnet KGH_SPY sent i 2020. Utover keylogging er FPSpy designet for å samle systemdetaljer, laste ned og distribuere ytterligere nyttelaster, utfør vilkårlige kommandoer og skann stasjoner, mapper og filer på det kompromitterte systemet.
I mellomtiden er KLogExe, en annen nylig identifisert trussel, en C++-tilpasning av en PowerShell-basert keylogger kalt InfoKey, tidligere flagget av JPCERT/CC i en Kimsuky-kampanje rettet mot japanske enheter. Dette verktøyet er utstyrt for å fange og eksfiltrere data om aktive applikasjoner, tastetrykk og musebevegelser på den berørte maskinen.
En svært målrettet angrepskampanje
Eksperter på nettsikkerhet har identifisert likheter i kildekoden til både KLogExe og FPSpy, noe som indikerer at de sannsynligvis er utviklet av samme forfatter. Mens Kimsuky har en historie med å målrette mot ulike regioner og sektorer, ser denne kampanjen ut til å være fokusert på organisasjoner i Japan og Sør-Korea.
Gitt den målrettede og selektive karakteren til disse operasjonene, har forskere konkludert med at kampanjen neppe vil være utbredt. I stedet ser det ut til å være begrenset til spesifikke bransjer og hovedsakelig begrenset til Japan og Sør-Korea.
