ForceCopy Stealer
Grupul de hacking legat de Coreea de Nord, Kimsuky, a fost găsit folosind atacuri de tip spear-phishing pentru a distribui un program malware nou identificat de furt de informații, numit forceCopy. Aceste atacuri încep cu e-mailuri de tip phishing care conțin un fișier de comandă rapidă Windows (LNK) deghizat, făcut să arate ca un document Microsoft Office sau PDF. Destinatari nebănuiți care deschid fișierul fără să știe declanșează o reacție în lanț care execută comenzi rău intenționate.
Cuprins
Exploatarea instrumentelor legitime pentru a livra sarcini utile amenințătoare
Odată ce utilizatorul interacționează cu atașamentul dăunător, procesul de infecție începe prin executarea PowerShell sau „mshta.exe”, un utilitar Windows legitim folosit pentru a rula fișiere HTML Application (HTA). Această tehnică permite atacatorilor să preia și să implementeze încărcături suplimentare de malware dintr-o sursă externă fără a ridica suspiciuni.
Implementarea troienilor și a instrumentelor pentru desktop la distanță
Atacurile au ca rezultat implementarea amenințărilor cunoscute, inclusiv a troianului PEBBLEDASH și a unei versiuni modificate a RDP Wrapper, un instrument open-source folosit pentru accesul la desktop la distanță. Alături de acestea, este introdus malware proxy pentru a asigura o conexiune continuă între dispozitivul compromis și rețeaua externă a atacatorilor prin Remote Desktop Protocol (RDP).
Un Keylogger și ForceCopy: țintirea acreditărilor stocate
De asemenea, Kimsuky a fost văzut folosind un keylogger bazat pe PowerShell pentru a captura apăsările de la taste, sporind și mai mult capacitatea acestora de a fura informații sensibile. În plus, programul malware forceCopy recent descoperit este conceput special pentru a extrage fișierele stocate în directoarele browserului web. Acest lucru sugerează o încercare de a ocoli restricțiile de securitate și de a accesa direct fișierele de configurare a browserului, unde datele de conectare sunt adesea stocate.
O schimbare strategică: utilizarea RDP pentru controlul gazdei
Dependența grupului de RDP Wrapper și malware proxy evidențiază o schimbare tactică în operațiunile lor. Anterior, Kimsuky folosea în primul rând ușile din spate personalizate pentru a controla sistemele infectate. Acum, prin folosirea instrumentelor disponibile pe scară largă, acestea urmăresc să mențină persistența reducând în același timp șansele de detectare.
APT43: O amenințare de lungă durată de spionaj cibernetic
Se crede că Kimsuky, cunoscut și sub pseudonime precum APT43, Black Banshee și Emerald Sleet, operează sub Reconnaissance General Bureau (RGB) al Coreei de Nord, principalul serviciu de informații străine al țării. Activ din 2012 cel puțin, grupul are o lungă istorie de a executa atacuri sofisticate de inginerie socială pentru a ocoli apărările de securitate ale e-mailului.
Extinderea operațiunilor cu campanii de phishing din Rusia
Descoperirile recente indică faptul că Kimsuky a folosit e-mailuri de phishing trimise de la serviciile rusești de e-mail pentru a desfășura campanii de furt de acreditări. Această adaptare, observată în decembrie 2024, reflectă tacticile în evoluție ale grupului, pe măsură ce continuă să-și perfecționeze tehnicile de inginerie socială pentru a viza indivizi și organizații de mare valoare.
