Oprogramowanie złośliwe FPSpy
Zidentyfikowano grupy zagrożeń powiązane z Koreą Północną, wykorzystujące dwa nowo opracowane narzędzia znane jako KLogEXE i FPSpy. Ta aktywność została powiązana z aktorem zagrożeń określanym jako Kimsuky, znanym również pod pseudonimami takimi jak APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dawniej Thallium), Sparkling Pisces, Springtail i Velvet Chollima. Te nowe narzędzia rozszerzają już znaczny zestaw narzędzi Sparkling Pisces, odzwierciedlając ciągłą ewolucję grupy i jej rosnące wyrafinowanie.
Spis treści
Wyrafinowany aktor zagrożeń działający od ponad dekady
Aktywny od co najmniej 2012 r., aktor zagrożeń został nazwany „królem spear phishingu” ze względu na jego zdolność do oszukiwania ofiar, aby pobierały złośliwe oprogramowanie, wysyłając wiadomości e-mail, które sprawiają wrażenie, że pochodzą od zaufanych stron. Analiza infrastruktury Kimsuki przeprowadzona przez badaczy ujawniła dwa nowe przenośne pliki wykonywalne określane jako KLogEXE i FPSpy.
Wiadomo, że te szczepy złośliwego oprogramowania są dostarczane głównie za pośrednictwem ataków spear-phishing. Na podstawie dostępnych informacji wydaje się, że źli operatorzy tej kampanii preferują ataki socjotechniczne w formie e-maili spear-phishing wysyłanych do swoich celów.
Te starannie opracowane wiadomości e-mail mają język zaprojektowany tak, aby zwabić cele do pobrania pliku ZIP dołączonego do wiadomości e-mail. Cele są często zachęcane do wyodrębnienia uszkodzonych plików, które po wykonaniu wywołują łańcuch infekcji – ostatecznie dostarczając te szczepy złośliwego oprogramowania.
FPSpy jest wyposażony w liczne możliwości inwazyjne
Uważa się, że FPSpy jest wariantem backdoora ujawnionego po raz pierwszy przez AhnLab w 2022 r., wykazującego podobieństwa do zagrożenia udokumentowanego przez Cybereason pod nazwą KGH_SPY pod koniec 2020 r. Oprócz rejestrowania naciśnięć klawiszy, FPSpy jest przeznaczony do zbierania szczegółów systemu, pobierania i wdrażania dodatkowych ładunków, wykonywania dowolnych poleceń oraz skanowania dysków, folderów i plików w zainfekowanym systemie.
Tymczasem KLogExe, kolejne nowo zidentyfikowane zagrożenie, to adaptacja C++ keyloggera opartego na PowerShell o nazwie InfoKey, wcześniej oznaczonego przez JPCERT/CC w kampanii Kimsuky skierowanej do japońskich podmiotów. To narzędzie jest wyposażone w możliwość przechwytywania i eksfiltracji danych o aktywnych aplikacjach, naciśnięciach klawiszy i ruchach myszy na zainfekowanej maszynie.
Bardzo ukierunkowana kampania ataków
Eksperci ds. cyberbezpieczeństwa zidentyfikowali podobieństwa w kodzie źródłowym KLogExe i FPSpy, co wskazuje, że prawdopodobnie zostały opracowane przez tego samego autora. Podczas gdy Kimsuky ma historię atakowania różnych regionów i sektorów, ta konkretna kampania wydaje się być skoncentrowana na organizacjach w Japonii i Korei Południowej.
Biorąc pod uwagę ukierunkowany i selektywny charakter tych operacji, badacze doszli do wniosku, że mało prawdopodobne jest, aby kampania była szeroko rozpowszechniona. Zamiast tego wydaje się być ograniczona do konkretnych branż i ograniczona głównie do Japonii i Korei Południowej.
