FPSpy मालवेयर
KLogEXE र FPSpy नामक दुई नयाँ विकसित उपकरणहरू प्रयोग गरेर उत्तर कोरियासँग जोडिएका खतरा समूहहरू पहिचान गरिएको छ। यो गतिविधि किमसुकी भनेर चिनिने खतरा अभिनेतासँग जोडिएको छ, जसलाई APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (पहिले थैलियम), स्पार्कलिंग मीन, स्प्रिंगटेल र भेलभेट चोलिमा जस्ता उपनामहरूमा पनि मान्यता दिइन्छ। यी ताजा उपकरणहरूले स्पार्कलिंग मीन राशिको पहिले नै महत्त्वपूर्ण टुलकिट विस्तार गर्दछ, समूहको निरन्तर विकास र बढ्दो परिष्कारलाई प्रतिबिम्बित गर्दछ।
सामग्रीको तालिका
एक परिष्कृत खतरा अभिनेता एक दशक भन्दा बढी को लागी सञ्चालन
कम्तिमा 2012 देखि सक्रिय, धम्की अभिनेतालाई 'भाला फिसिङको राजा' भनिन्छ जसले पीडितहरूलाई इमेलहरू पठाएर मालवेयर डाउनलोड गर्न छल गर्ने क्षमताको कारण उनीहरू विश्वसनीय पक्षहरूबाट आएको जस्तो देखिन्छ। किमसुकीको पूर्वाधारको अन्वेषकहरूको विश्लेषणले KLogEXE र FPSpy भनिने दुई नयाँ पोर्टेबल कार्यान्वयनयोग्यहरू पत्ता लगाएको छ।
यी मालवेयर स्ट्रेनहरू मुख्य रूपमा भाला-फिसिङ आक्रमणहरू मार्फत डेलिभर गर्न जानिन्छ। उपलब्ध जानकारीको आधारमा, यस्तो देखिन्छ कि यस अभियानका दुष्ट अपरेटरहरूले आफ्नो लक्ष्यमा पठाइएका भाला-फिसिङ इमेलहरूको रूपमा सामाजिक इन्जिनियरिङ आक्रमणहरूलाई समर्थन गर्छन्।"
यी सावधानीपूर्वक तयार गरिएका इमेलहरूमा इमेलमा संलग्न जिप फाइल डाउनलोड गर्न लक्ष्यहरूलाई प्रलोभन दिन डिजाइन गरिएको भाषा छ। लक्ष्यहरूलाई प्रायः भ्रष्ट फाइलहरू निकाल्न प्रोत्साहित गरिन्छ, जसले कार्यान्वयनमा संक्रमण श्रृंखलालाई आह्वान गर्दछ - अन्ततः यी मालवेयर स्ट्रेनहरू प्रदान गर्दछ।
FPSpy धेरै आक्रामक क्षमताहरु संग सुसज्जित छ
FPSpy लाई 2022 मा AhnLab द्वारा पहिलो पटक पर्दाफास गरिएको ब्याकडोरको रूप मानिन्छ, जसले 2020 को उत्तरार्धमा KGH_SPY नाम अन्तर्गत Cybereason द्वारा दस्तावेज गरिएको खतरासँग समानता देखाउँदछ। किलगिङभन्दा बाहिर, FPSpy प्रणाली विवरणहरू सङ्कलन गर्न, डाउनलोड गर्न र थप पेलोडहरू प्रयोग गर्न डिजाइन गरिएको हो। स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्नुहोस्, र सम्झौता प्रणालीमा ड्राइभहरू, फोल्डरहरू र फाइलहरू स्क्यान गर्नुहोस्।
यसैबीच, KLogExe, अर्को नयाँ पहिचान गरिएको खतरा, InfoKey भनिने PowerShell-आधारित कीलगरको C++ अनुकूलन हो, जुन जापानी संस्थाहरूलाई लक्षित गर्ने Kimsuky अभियानमा JPCERT/CC द्वारा पहिले फ्ल्याग गरिएको थियो। यो उपकरण प्रभावित मेसिनमा सक्रिय अनुप्रयोगहरू, कीस्ट्रोकहरू र माउस चालहरूको बारेमा डाटा खिच्न र बाहिर निकाल्न सुसज्जित छ।
एक उच्च-लक्षित आक्रमण अभियान
साइबरसुरक्षा विशेषज्ञहरूले KLogExe र FPSpy दुबैको स्रोत कोडमा समानताहरू पहिचान गरेका छन्, तिनीहरू सम्भवतः एउटै लेखकद्वारा विकसित गरिएको हो भनी संकेत गर्दछ। जबकि किमसुकीले विभिन्न क्षेत्र र क्षेत्रहरूलाई लक्षित गर्ने इतिहास छ, यो विशेष अभियान जापान र दक्षिण कोरियाका संगठनहरूमा केन्द्रित देखिन्छ।
यी कार्यहरूको लक्षित र छनौट प्रकृतिलाई ध्यानमा राख्दै, अनुसन्धानकर्ताहरूले निष्कर्ष निकालेका छन् कि अभियान व्यापक हुने सम्भावना छैन। यसको सट्टा, यो विशेष उद्योगहरूमा सीमित देखिन्छ र मुख्य रूपमा जापान र दक्षिण कोरियामा सीमित देखिन्छ।
