forceCopy Stealer

उत्तर कोरियासँग सम्बन्धित ह्याकिङ समूह किमसुकीले फोर्सकपी भनिने नयाँ पहिचान गरिएको जानकारी चोरी गर्ने मालवेयर वितरण गर्न भाला-फिसिङ आक्रमणहरू प्रयोग गरेको पाइएको छ। यी आक्रमणहरू फिसिङ इमेलहरूबाट सुरु हुन्छन् जसमा माइक्रोसफ्ट अफिस वा PDF कागजात जस्तो देखिने गरी प्रच्छन्न विन्डोज सर्टकट (LNK) फाइल हुन्छ। अनजानमा फाइल खोल्ने शंका नगर्ने प्राप्तकर्ताहरूले एक चेन रियाक्सन सुरु गर्छन् जसले दुर्भावनापूर्ण आदेशहरू कार्यान्वयन गर्दछ।

धम्कीपूर्ण पेलोडहरू प्रदान गर्न वैध उपकरणहरूको शोषण गर्दै

एक पटक प्रयोगकर्ताले हानिकारक संलग्नकसँग अन्तर्क्रिया गरेपछि, संक्रमण प्रक्रिया PowerShell वा 'mshta.exe' कार्यान्वयन गरेर सुरु हुन्छ, जुन HTML अनुप्रयोग (HTA) फाइलहरू चलाउन प्रयोग गरिने वैध विन्डोज उपयोगिता हो। यो प्रविधिले आक्रमणकारीहरूलाई शंका नगरी बाह्य स्रोतबाट थप मालवेयर पेलोडहरू ल्याउन र तैनाथ गर्न अनुमति दिन्छ।

ट्रोजन र रिमोट डेस्कटप उपकरणहरू तैनाथ गर्दै

आक्रमणहरूले अन्ततः ज्ञात खतराहरूको तैनाती निम्त्याउँछ, जसमा PEBBLEDASH ट्रोजन र RDP र्‍यापरको परिमार्जित संस्करण समावेश छ, जुन रिमोट डेस्कटप पहुँचको लागि प्रयोग गरिने खुला स्रोत उपकरण हो। यीसँगै, रिमोट डेस्कटप प्रोटोकल (RDP) मार्फत सम्झौता गरिएको उपकरण र आक्रमणकारीहरूको बाह्य नेटवर्क बीच निरन्तर जडान सुनिश्चित गर्न प्रोक्सी मालवेयर प्रस्तुत गरिएको छ।

एक किलगर र फोर्सकपी: भण्डारण गरिएका प्रमाणहरू लक्षित गर्दै

किमसुकीले किस्ट्रोकहरू खिच्न पावरशेल-आधारित किलगर प्रयोग गरेको पनि देखिएको छ, जसले संवेदनशील जानकारी चोर्ने क्षमतालाई अझ बढाउँछ। थप रूपमा, भर्खरै पत्ता लागेको फोर्सकपी मालवेयर विशेष रूपमा वेब ब्राउजर डाइरेक्टरीहरूमा भण्डारण गरिएका फाइलहरू निकाल्न डिजाइन गरिएको हो। यसले सुरक्षा प्रतिबन्धहरूलाई बाइपास गर्ने र लगइन प्रमाणहरू प्रायः भण्डारण गरिएका ब्राउजर कन्फिगरेसन फाइलहरू सिधै पहुँच गर्ने प्रयासलाई सुझाव दिन्छ।

रणनीतिक परिवर्तन: होस्ट नियन्त्रणको लागि RDP प्रयोग गर्दै

RDP र्‍यापर र प्रोक्सी मालवेयरमा समूहको निर्भरताले उनीहरूको सञ्चालनमा रणनीतिक परिवर्तनलाई प्रकाश पार्छ। पहिले, किमसुकीले मुख्यतया संक्रमित प्रणालीहरू नियन्त्रण गर्न अनुकूलित-निर्मित ब्याकडोरहरू प्रयोग गर्थे। अब, व्यापक रूपमा उपलब्ध उपकरणहरूको लाभ उठाएर, तिनीहरूले पत्ता लगाउने सम्भावना कम गर्दै दृढता कायम राख्ने लक्ष्य राख्छन्।

APT43: लामो समयदेखि चलिरहेको साइबर जासुसीको खतरा

APT43, Black Banshee, र Emerald Sleet जस्ता उपनामहरूले पनि चिनिने किमसुकी, देशको अग्रणी विदेशी गुप्तचर सेवा, उत्तर कोरियाको Reconnaissance General Bureau (RGB) अन्तर्गत सञ्चालन हुने विश्वास गरिन्छ। कम्तिमा २०१२ देखि सक्रिय, समूहले इमेल सुरक्षा प्रतिरक्षालाई बाइपास गर्न परिष्कृत सामाजिक इन्जिनियरिङ आक्रमणहरू कार्यान्वयन गर्ने लामो इतिहास राखेको छ।

रुसी-आधारित फिसिङ अभियानहरू मार्फत सञ्चालन विस्तार गर्दै

हालैका खोजहरूले संकेत गर्दछ कि किमसुकीले प्रमाण चोरी अभियानहरू सञ्चालन गर्न रूसी इमेल सेवाहरूबाट पठाइएका फिसिङ इमेलहरू प्रयोग गरिरहेको छ। डिसेम्बर २०२४ मा अवलोकन गरिएको यो अनुकूलनले समूहको विकसित रणनीतिहरूलाई प्रतिबिम्बित गर्दछ किनकि यसले उच्च-मूल्यवान व्यक्तिहरू र संस्थाहरूलाई लक्षित गर्न आफ्नो सामाजिक इन्जिनियरिङ प्रविधिहरूलाई परिष्कृत गर्न जारी राख्छ।