Malware FPSpy
Grupurile de amenințări legate de Coreea de Nord au fost identificate utilizând două instrumente nou dezvoltate, cunoscute sub numele de KLogEXE și FPSpy. Această activitate a fost legată de un actor de amenințare numit Kimsuky, recunoscut și sub pseudonime precum APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (fost Thallium), Sparkling Pisces, Springtail și Velvet Chollima. Aceste instrumente proaspete extind setul de instrumente deja considerabil al Sparkling Pisces, reflectând evoluția continuă a grupului și o sofisticare în creștere.
Cuprins
Un actor de amenințare sofisticat care funcționează de peste un deceniu
Activ din 2012 cel puțin, actorul amenințării a fost numit „regele phishing-ului” pentru capacitatea sa de a păcăli victimele să descarce programe malware, trimițând e-mailuri care să pară că provin de la părți de încredere. Analiza cercetătorilor asupra infrastructurii lui Kimsuki a descoperit două noi executabile portabile, denumite KLogEXE și FPSpy.
Se știe că aceste tulpini de malware sunt livrate în principal prin atacuri spear-phishing. Pe baza informațiilor disponibile, se pare că operatorii răi ai acestei campanii favorizează atacurile de inginerie socială sub formă de e-mailuri de tip spear-phishing trimise țintelor lor.”
Aceste e-mailuri atent elaborate au un limbaj conceput pentru a atrage țintele să descarce un fișier ZIP atașat e-mailului. Țintele sunt adesea încurajate să extragă fișiere corupte, care, la execuție, invocă lanțul de infecție - în cele din urmă livrând aceste tulpini de malware.
FPSpy este echipat cu numeroase capacități invazive
Se crede că FPSpy este o variantă a unei uși din spate expusă pentru prima dată de AhnLab în 2022, prezentând asemănări cu o amenințare documentată de Cybereason sub numele KGH_SPY la sfârșitul anului 2020. Dincolo de înregistrarea tastelor, FPSpy este conceput pentru a colecta detalii de sistem, a descărca și a implementa încărcături suplimentare, executați comenzi arbitrare și scanați unități, foldere și fișiere de pe sistemul compromis.
Între timp, KLogExe, o altă amenințare nou identificată, este o adaptare C++ a unui keylogger bazat pe PowerShell numit InfoKey, semnalat anterior de JPCERT/CC într-o campanie Kimsuky care vizează entitățile japoneze. Acest instrument este echipat pentru a captura și exfiltra date despre aplicațiile active, apăsările de taste și mișcările mouse-ului pe mașina afectată.
O campanie de atac foarte țintită
Experții în securitate cibernetică au identificat asemănări în codul sursă atât al KLogExe, cât și al FPSpy, indicând faptul că acestea sunt probabil dezvoltate de același autor. În timp ce Kimsuky are o istorie de a viza diverse regiuni și sectoare, această campanie special pare concentrată pe organizații din Japonia și Coreea de Sud.
Având în vedere natura țintită și selectivă a acestor operațiuni, cercetătorii au ajuns la concluzia că este puțin probabil ca campania să fie răspândită. În schimb, pare limitată la anumite industrii și limitată în primul rând la Japonia și Coreea de Sud.
