FPSpy ਮਾਲਵੇਅਰ

KLogEXE ਅਤੇ FPSpy ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਦੋ ਨਵੇਂ ਵਿਕਸਤ ਟੂਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਧਮਕੀ ਸਮੂਹਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਗਤੀਵਿਧੀ ਕਿਮਸੁਕੀ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ, ਜਿਸਨੂੰ ਏਪੀਟੀ 43, ਆਰਕੀਪਲੇਗੋ, ਬਲੈਕ ਬੈਨਸ਼ੀ, ਐਮਰਾਲਡ ਸਲੀਟ (ਪਹਿਲਾਂ ਥੈਲਿਅਮ), ਸਪਾਰਕਿੰਗ ਮੀਨ, ਸਪ੍ਰਿੰਗਟੇਲ ਅਤੇ ਵੈਲਵੇਟ ਚੋਲਿਮਾ ਵਰਗੇ ਉਪਨਾਮਾਂ ਵਿੱਚ ਵੀ ਮਾਨਤਾ ਦਿੱਤੀ ਗਈ ਹੈ। ਇਹ ਤਾਜ਼ੇ ਟੂਲ ਸਪਾਰਕਲਿੰਗ ਮੀਨ ਦੀ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਮਹੱਤਵਪੂਰਨ ਟੂਲਕਿੱਟ ਦਾ ਵਿਸਤਾਰ ਕਰਦੇ ਹਨ, ਜੋ ਸਮੂਹ ਦੇ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਅਤੇ ਵਧ ਰਹੀ ਸੂਝ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਇੱਕ ਸੂਝਵਾਨ ਧਮਕੀ ਅਦਾਕਾਰ

ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ 'ਬਰਛੇ ਫਿਸ਼ਿੰਗ ਦਾ ਬਾਦਸ਼ਾਹ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਕਿਉਂਕਿ ਉਹ ਪੀੜਤਾਂ ਨੂੰ ਈਮੇਲ ਭੇਜ ਕੇ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ ਜਿਸ ਨਾਲ ਇਹ ਲੱਗਦਾ ਹੈ ਕਿ ਉਹ ਭਰੋਸੇਯੋਗ ਪਾਰਟੀਆਂ ਤੋਂ ਹਨ। ਕਿਮਸੁਕੀ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ KLogEXE ਅਤੇ FPSpy ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਦੋ ਨਵੇਂ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਤਣਾਅ ਮੁੱਖ ਤੌਰ 'ਤੇ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਜਾਣ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਹਨ। ਉਪਲਬਧ ਜਾਣਕਾਰੀ ਦੇ ਆਧਾਰ 'ਤੇ, ਇਹ ਜਾਪਦਾ ਹੈ ਕਿ ਇਸ ਮੁਹਿੰਮ ਦੇ ਦੁਸ਼ਟ ਸੰਚਾਲਕ ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਭੇਜੇ ਗਏ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਿਆਂ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ।"

ਇਹਨਾਂ ਸਾਵਧਾਨੀ ਨਾਲ ਤਿਆਰ ਕੀਤੀਆਂ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਭਾਸ਼ਾ ਹੈ ਜੋ ਟੀਚਿਆਂ ਨੂੰ ਈਮੇਲ ਨਾਲ ਜੁੜੀ ਇੱਕ ZIP ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਲੁਭਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ਟੀਚਿਆਂ ਨੂੰ ਅਕਸਰ ਖਰਾਬ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਲਾਗੂ ਹੋਣ 'ਤੇ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਸੱਦਾ ਦਿੰਦੀਆਂ ਹਨ - ਆਖਰਕਾਰ ਇਹ ਮਾਲਵੇਅਰ ਤਣਾਅ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।

FPSpy ਕਈ ਹਮਲਾਵਰ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ

FPSpy ਨੂੰ 2022 ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ AhnLab ਦੁਆਰਾ ਪ੍ਰਗਟ ਕੀਤਾ ਗਿਆ ਇੱਕ ਬੈਕਡੋਰ ਦਾ ਰੂਪ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ 2020 ਦੇ ਅਖੀਰ ਵਿੱਚ KGH_SPY ਨਾਮ ਹੇਠ Cybereason ਦੁਆਰਾ ਦਸਤਾਵੇਜ਼ੀ ਧਮਕੀ ਦੇ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਕੀਲੌਗਿੰਗ ਤੋਂ ਇਲਾਵਾ, FPSpy ਨੂੰ ਸਿਸਟਮ ਵੇਰਵੇ ਇਕੱਤਰ ਕਰਨ, ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਆਰਬਿਟਰਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਓ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਡਰਾਈਵਾਂ, ਫੋਲਡਰਾਂ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਸਕੈਨ ਕਰੋ।

ਇਸ ਦੌਰਾਨ, KLogExe, ਇੱਕ ਹੋਰ ਨਵਾਂ ਪਛਾਣਿਆ ਖ਼ਤਰਾ, ਇੱਕ PowerShell-ਅਧਾਰਿਤ ਕੀਲੌਗਰ ਦਾ ਇੱਕ C++ ਅਨੁਕੂਲਨ ਹੈ ਜਿਸਨੂੰ InfoKey ਕਹਿੰਦੇ ਹਨ, ਜੋ ਕਿ ਪਹਿਲਾਂ JPCERT/CC ਦੁਆਰਾ ਜਾਪਾਨੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਕਿਮਸੁਕੀ ਮੁਹਿੰਮ ਵਿੱਚ ਫਲੈਗ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਟੂਲ ਪ੍ਰਭਾਵਿਤ ਮਸ਼ੀਨ 'ਤੇ ਸਰਗਰਮ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਕੀਸਟ੍ਰੋਕਾਂ ਅਤੇ ਮਾਊਸ ਦੀਆਂ ਹਰਕਤਾਂ ਬਾਰੇ ਡਾਟਾ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਬਾਹਰ ਕੱਢਣ ਲਈ ਲੈਸ ਹੈ।

ਇੱਕ ਉੱਚ-ਨਿਸ਼ਾਨਾ ਹਮਲਾ ਮੁਹਿੰਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ KLogExe ਅਤੇ FPSpy ਦੋਵਾਂ ਦੇ ਸਰੋਤ ਕੋਡ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕੋ ਲੇਖਕ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤੇ ਗਏ ਹਨ। ਜਦੋਂ ਕਿ ਕਿਮਸੁਕੀ ਦਾ ਵੱਖ-ਵੱਖ ਖੇਤਰਾਂ ਅਤੇ ਸੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਇਤਿਹਾਸ ਹੈ, ਇਹ ਵਿਸ਼ੇਸ਼ ਮੁਹਿੰਮ ਜਾਪਾਨ ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਦੀਆਂ ਸੰਸਥਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਜਾਪਦੀ ਹੈ।

ਇਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਨਿਸ਼ਾਨਾ ਅਤੇ ਚੋਣਵੇਂ ਸੁਭਾਅ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਿੱਟਾ ਕੱਢਿਆ ਹੈ ਕਿ ਮੁਹਿੰਮ ਦੇ ਵਿਆਪਕ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਇਹ ਖਾਸ ਉਦਯੋਗਾਂ ਤੱਕ ਸੀਮਤ ਅਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਜਾਪਾਨ ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਤੱਕ ਸੀਮਤ ਜਾਪਦਾ ਹੈ।