forceCopy Stealer
Powiązana z Koreą Północną grupa hakerska Kimsuky została przyłapana na stosowaniu ataków spear-phishing w celu dystrybucji nowo zidentyfikowanego złośliwego oprogramowania kradnącego informacje o nazwie forceCopy. Ataki te rozpoczynają się od wiadomości e-mail phishing, które zawierają ukryty plik skrótu systemu Windows (LNK), wyglądający jak dokument Microsoft Office lub PDF. Nieświadomi odbiorcy, którzy otwierają plik, nieświadomie uruchamiają reakcję łańcuchową, która wykonuje złośliwe polecenia.
Spis treści
Wykorzystywanie legalnych narzędzi do dostarczania groźnych ładunków
Gdy użytkownik wejdzie w interakcję ze szkodliwym załącznikiem, proces infekcji rozpoczyna się od uruchomienia programu PowerShell lub „mshta.exe”, legalnego narzędzia Windows używanego do uruchamiania plików aplikacji HTML (HTA). Ta technika umożliwia atakującym pobieranie i wdrażanie dodatkowych ładunków złośliwego oprogramowania z zewnętrznego źródła bez wzbudzania podejrzeń.
Wdrażanie trojanów i narzędzi pulpitu zdalnego
Ataki ostatecznie skutkują wdrożeniem znanych zagrożeń, w tym trojana PEBBLEDASH i zmodyfikowanej wersji RDP Wrapper, narzędzia typu open source używanego do zdalnego dostępu do pulpitu. Oprócz tego wprowadzane jest złośliwe oprogramowanie proxy, aby zapewnić ciągłe połączenie między naruszonym urządzeniem a zewnętrzną siecią atakujących za pośrednictwem protokołu RDP (Remote Desktop Protocol).
Keylogger i forceCopy: celowanie w przechowywane dane uwierzytelniające
Kimsuky był również widziany przy użyciu opartego na PowerShell keyloggera do przechwytywania naciśnięć klawiszy, co jeszcze bardziej zwiększa jego zdolność do kradzieży poufnych informacji. Ponadto nowo odkryte złośliwe oprogramowanie forceCopy jest specjalnie zaprojektowane do wyodrębniania plików przechowywanych w katalogach przeglądarki internetowej. Sugeruje to próbę obejścia ograniczeń bezpieczeństwa i bezpośredniego dostępu do plików konfiguracji przeglądarki, w których często przechowywane są dane logowania.
Zmiana strategiczna: wykorzystanie protokołu RDP do kontroli hosta
Poleganie grupy na RDP Wrapper i proxy malware podkreśla taktyczną zmianę w ich działaniach. Wcześniej Kimsuky używał głównie niestandardowych backdoorów do kontrolowania zainfekowanych systemów. Teraz, wykorzystując powszechnie dostępne narzędzia, starają się utrzymać trwałość, jednocześnie zmniejszając szanse na wykrycie.
APT43: Długotrwałe zagrożenie cybernetycznego szpiegostwa
Kimsuky, znany również pod pseudonimami takimi jak APT43, Black Banshee i Emerald Sleet, prawdopodobnie działa pod nadzorem Reconnaissance General Bureau (RGB) Korei Północnej, wiodącej zagranicznej służby wywiadowczej kraju. Działająca od co najmniej 2012 r. grupa ma długą historię przeprowadzania wyrafinowanych ataków socjotechnicznych w celu ominięcia zabezpieczeń poczty e-mail.
Rozszerzanie działalności o kampanie phishingowe prowadzone w Rosji
Ostatnie ustalenia wskazują, że Kimsuky używał wiadomości phishingowych wysyłanych z rosyjskich usług e-mail do przeprowadzania kampanii kradzieży danych uwierzytelniających. Ta adaptacja, zaobserwowana w grudniu 2024 r., odzwierciedla ewolucję taktyki grupy, ponieważ nadal udoskonala ona swoje techniki inżynierii społecznej, aby atakować osoby i organizacje o wysokiej wartości.
