Вредоносное ПО FPSpy

Группы угроз, связанные с Северной Кореей, были идентифицированы с использованием двух недавно разработанных инструментов, известных как KLogEXE и FPSpy. Эта деятельность была связана с субъектом угроз, называемым Kimsuky, также известным под такими псевдонимами, как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), Sparkling Pisces, Springtail и Velvet Chollima. Эти новые инструменты расширяют и без того значительный набор инструментов Sparkling Pisces, отражая продолжающуюся эволюцию группы и растущую сложность.

Изощренный преступник, действующий более десятилетия

Действуя по крайней мере с 2012 года, этот злоумышленник был назван «королем фишинга» за его способность обманывать жертв, заставляя их загружать вредоносное ПО, отправляя электронные письма, которые выглядят так, как будто они отправлены доверенными лицами. Анализ инфраструктуры Kimsuki исследователями выявил два новых портативных исполняемых файла, называемых KLogEXE и FPSpy.

Известно, что эти штаммы вредоносного ПО в основном доставляются посредством фишинговых атак. На основе имеющейся информации можно сделать вывод, что злобные операторы этой кампании предпочитают атаки социальной инженерии в форме фишинговых писем, отправляемых их целям».

Эти тщательно составленные письма имеют язык, предназначенный для того, чтобы заставить жертву загрузить прикрепленный к письму ZIP-файл. Жертвы часто побуждаются извлекать поврежденные файлы, которые при выполнении вызывают цепочку заражения – в конечном итоге доставляя эти штаммы вредоносного ПО.

FPSpy оснащен многочисленными инвазивными возможностями

Предполагается, что FPSpy представляет собой вариант бэкдора, впервые обнаруженного AhnLab в 2022 году, и демонстрирует сходство с угрозой, задокументированной Cybereason под названием KGH_SPY в конце 2020 года. Помимо ведения журнала нажатий клавиш, FPSpy предназначен для сбора сведений о системе, загрузки и развертывания дополнительных полезных нагрузок, выполнения произвольных команд и сканирования дисков, папок и файлов на скомпрометированной системе.

Между тем, KLogExe, еще одна недавно выявленная угроза, представляет собой адаптацию C++ кейлоггера на основе PowerShell под названием InfoKey, ранее отмеченного JPCERT/CC в кампании Kimsuky, нацеленной на японские организации. Этот инструмент оснащен для захвата и извлечения данных об активных приложениях, нажатиях клавиш и движениях мыши на зараженной машине.

Тщательно направленная кампания атак

Эксперты по кибербезопасности выявили сходства в исходном коде KLogExe и FPSpy, что указывает на то, что они, вероятно, разработаны одним и тем же автором. Хотя Kimsuky имеет историю нацеливания на различные регионы и секторы, эта конкретная кампания, похоже, была сосредоточена на организациях в Японии и Южной Корее.

Учитывая целенаправленный и избирательный характер этих операций, исследователи пришли к выводу, что кампания вряд ли будет широкомасштабной. Вместо этого она, по-видимому, ограничивается определенными отраслями и в основном Японией и Южной Кореей.