ForceCopy Stealer
De Noord-Koreaanse hackersgroep Kimsuky is betrapt op het gebruik van spear-phishingaanvallen om een nieuw geïdentificeerde informatie-stelende malware genaamd forceCopy te verspreiden. Deze aanvallen beginnen met phishing-e-mails die een gecamoufleerd Windows-snelkoppelingsbestand (LNK) bevatten, dat eruitziet als een Microsoft Office- of PDF-document. Nietsvermoedende ontvangers die het bestand onbewust openen, veroorzaken een kettingreactie die kwaadaardige opdrachten uitvoert.
Inhoudsopgave
Het exploiteren van legitieme hulpmiddelen om bedreigende ladingen te leveren
Zodra de gebruiker met de schadelijke bijlage interageert, start het infectieproces door PowerShell of 'mshta.exe' uit te voeren, een legitiem Windows-hulpprogramma dat wordt gebruikt om HTML Application (HTA)-bestanden uit te voeren. Deze techniek stelt aanvallers in staat om extra malware-payloads van een externe bron op te halen en te implementeren zonder argwaan te wekken.
Trojaanse paarden en hulpmiddelen voor extern bureaublad implementeren
De aanvallen resulteren uiteindelijk in de inzet van bekende bedreigingen, waaronder de PEBBLEDASH Trojan en een aangepaste versie van de RDP Wrapper, een open-sourcetool die wordt gebruikt voor toegang tot externe desktops. Daarnaast wordt proxy-malware geïntroduceerd om een continue verbinding te garanderen tussen het gecompromitteerde apparaat en het externe netwerk van de aanvallers via Remote Desktop Protocol (RDP).
Een keylogger en forceCopy: gericht op opgeslagen inloggegevens
Kimsuky is ook gezien met een PowerShell-gebaseerde keylogger om toetsaanslagen vast te leggen, wat hun vermogen om gevoelige informatie te stelen verder vergroot. Bovendien is de onlangs ontdekte forceCopy-malware specifiek ontworpen om bestanden te extraheren die zijn opgeslagen in webbrowserdirectory's. Dit suggereert een poging om beveiligingsbeperkingen te omzeilen en rechtstreeks toegang te krijgen tot browserconfiguratiebestanden waar inloggegevens vaak worden opgeslagen.
Een strategische verschuiving: RDP gebruiken voor hostcontrole
De afhankelijkheid van de groep van RDP Wrapper en proxy-malware benadrukt een tactische verschuiving in hun activiteiten. Voorheen gebruikte Kimsuky voornamelijk op maat gemaakte backdoors om geïnfecteerde systemen te controleren. Nu, door gebruik te maken van algemeen beschikbare tools, streven ze ernaar om persistentie te behouden en tegelijkertijd de kans op detectie te verkleinen.
APT43: Een langdurige cyberspionagedreiging
Kimsuky, ook bekend onder aliassen zoals APT43, Black Banshee en Emerald Sleet, zou opereren onder Noord-Korea's Reconnaissance General Bureau (RGB), de belangrijkste buitenlandse inlichtingendienst van het land. De groep is sinds ten minste 2012 actief en heeft een lange geschiedenis van het uitvoeren van geavanceerde social engineering-aanvallen om e-mailbeveiliging te omzeilen.
Uitbreiding van de activiteiten met op Rusland gebaseerde phishingcampagnes
Recente bevindingen geven aan dat Kimsuky phishing-e-mails van Russische e-mailservices heeft gebruikt om campagnes voor diefstal van inloggegevens uit te voeren. Deze aanpassing, waargenomen in december 2024, weerspiegelt de evoluerende tactieken van de groep terwijl het zijn social engineering-technieken blijft verfijnen om zich te richten op waardevolle individuen en organisaties.
