FPSpy-malware
Dreigingsgroepen die gelinkt zijn aan Noord-Korea zijn geïdentificeerd met behulp van twee nieuw ontwikkelde tools, bekend als KLogEXE en FPSpy. Deze activiteit is gelinkt aan een dreigingsactor die bekend staat als Kimsuky, ook bekend onder aliassen zoals APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (voorheen Thallium), Sparkling Pisces, Springtail en Velvet Chollima. Deze nieuwe tools breiden de toch al aanzienlijke gereedschapskist van Sparkling Pisces uit, wat de voortdurende evolutie en groeiende verfijning van de groep weerspiegelt.
Inhoudsopgave
Een geavanceerde dreigingsactor die al meer dan tien jaar actief is
De dreigingsactor is sinds ten minste 2012 actief en wordt de 'koning van spear phishing' genoemd vanwege zijn vermogen om slachtoffers te misleiden tot het downloaden van malware door e-mails te versturen die lijken alsof ze afkomstig zijn van vertrouwde partijen. De analyse van Kimsuki's infrastructuur door onderzoekers heeft twee nieuwe draagbare uitvoerbare bestanden onthuld, KLogEXE en FPSpy.
Het is bekend dat deze malware-stammen voornamelijk via spear-phishing-aanvallen worden verspreid. Op basis van de beschikbare informatie lijkt het erop dat de kwaadaardige operators van deze campagne social engineering-aanvallen in de vorm van spear-phishing-e-mails naar hun doelwitten prefereren."
Deze zorgvuldig opgestelde e-mails hebben een taal die is ontworpen om de doelen te verleiden een ZIP-bestand te downloaden dat aan de e-mail is toegevoegd. De doelen worden vaak aangemoedigd om corrupte bestanden te extraheren, die bij uitvoering de infectieketen aanroepen en uiteindelijk deze malwarestammen afleveren.
FPSpy is uitgerust met talloze invasieve mogelijkheden
FPSpy zou een variant zijn van een backdoor die AhnLab in 2022 voor het eerst blootlegde en die overeenkomsten vertoont met een bedreiging die Cybereason eind 2020 onder de naam KGH_SPY documenteerde. Naast keylogging is FPSpy ontworpen om systeemgegevens te verzamelen, extra payloads te downloaden en te implementeren, willekeurige opdrachten uit te voeren en schijven, mappen en bestanden op het gecompromitteerde systeem te scannen.
Ondertussen is KLogExe, een andere recent geïdentificeerde bedreiging, een C++-aanpassing van een PowerShell-gebaseerde keylogger genaamd InfoKey, eerder gemarkeerd door JPCERT/CC in een Kimsuky-campagne gericht op Japanse entiteiten. Deze tool is uitgerust om gegevens over actieve applicaties, toetsaanslagen en muisbewegingen op de getroffen machine vast te leggen en te exfiltreren.
Een zeer gerichte aanvalscampagne
Cybersecurity-experts hebben overeenkomsten in de broncode van zowel KLogExe als FPSpy geïdentificeerd, wat aangeeft dat ze waarschijnlijk door dezelfde auteur zijn ontwikkeld. Hoewel Kimsuky een geschiedenis heeft van het targeten van verschillende regio's en sectoren, lijkt deze specifieke campagne gericht op organisaties in Japan en Zuid-Korea.
Gezien de gerichte en selectieve aard van deze operaties, hebben onderzoekers geconcludeerd dat het onwaarschijnlijk is dat de campagne wijdverspreid zal zijn. In plaats daarvan lijkt het beperkt tot specifieke industrieën en beperkt tot voornamelijk Japan en Zuid-Korea.
