ForceCopy Stealer
Hackerská skupina Kimsuky napojená na Severnú Kóreu bola nájdená pomocou spear-phishingových útokov na distribúciu novo identifikovaného malvéru na kradnutie informácií s názvom forceCopy. Tieto útoky začínajú phishingovými e-mailami, ktoré obsahujú skrytý súbor skratky Windows (LNK), ktorý vyzerá ako dokument Microsoft Office alebo PDF. Nič netušiaci príjemcovia, ktorí súbor otvoria, nevedomky spustia reťazovú reakciu, ktorá vykoná škodlivé príkazy.
Obsah
Využívanie legitímnych nástrojov na poskytovanie hrozivých užitočných zaťažení
Keď používateľ interaguje so škodlivou prílohou, proces infekcie sa spustí spustením prostredia PowerShell alebo „mshta.exe“, legitímnej pomôcky systému Windows, ktorá sa používa na spúšťanie súborov aplikácie HTML (HTA). Táto technika umožňuje útočníkom získať a nasadiť ďalšie užitočné zaťaženie škodlivého softvéru z externého zdroja bez vzbudenia podozrenia.
Nasadenie trójskych koní a nástrojov vzdialenej pracovnej plochy
Útoky nakoniec vyústia do nasadenia známych hrozieb vrátane trójskeho koňa PEBBLEDASH a upravenej verzie RDP Wrapper, open-source nástroja používaného na vzdialený prístup k pracovnej ploche. Okrem toho sa zavádza proxy malvér, ktorý zabezpečuje nepretržité spojenie medzi napadnutým zariadením a externou sieťou útočníkov prostredníctvom protokolu RDP (Remote Desktop Protocol).
Keylogger a forceCopy: Zacielenie na uložené poverenia
Kimsuky bol tiež videný, ako používa keylogger založený na PowerShell na zachytenie stlačenia klávesov, čím sa ďalej zvyšuje ich schopnosť kradnúť citlivé informácie. Novoobjavený malvér forceCopy je navyše špeciálne navrhnutý na extrahovanie súborov uložených v adresároch webových prehliadačov. To naznačuje pokus o obídenie bezpečnostných obmedzení a priamy prístup k konfiguračným súborom prehliadača, kde sú často uložené prihlasovacie údaje.
Strategický posun: Použitie RDP na riadenie hostiteľa
Spoliehanie sa na RDP Wrapper a proxy malvér poukazuje na taktický posun v ich operáciách. Predtým Kimsuky primárne používal na kontrolu infikovaných systémov na mieru vytvorené zadné vrátka. Teraz, využívaním široko dostupných nástrojov, sa snažia zachovať vytrvalosť a zároveň znížiť šance na odhalenie.
APT43: Dlhodobá kybernetická špionážna hrozba
Kimsuky, známy aj pod prezývkami ako APT43, Black Banshee a Emerald Sleet, údajne pôsobí pod Severokórejským generálnym úradom pre prieskum (RGB), poprednou zahraničnou spravodajskou službou v krajine. Skupina, ktorá je aktívna minimálne od roku 2012, má za sebou dlhú históriu vykonávania sofistikovaných útokov sociálneho inžinierstva s cieľom obísť ochranu zabezpečenia e-mailov.
Rozšírenie operácií s phishingovými kampaňami založenými na Rusku
Nedávne zistenia naznačujú, že Kimsuky používa phishingové e-maily odosielané z ruských e-mailových služieb na vykonávanie kampaní proti krádeži poverení. Táto adaptácia, pozorovaná v decembri 2024, odráža vyvíjajúcu sa taktiku skupiny, ktorá pokračuje v zdokonaľovaní svojich techník sociálneho inžinierstva, aby sa zamerala na jednotlivcov a organizácie s vysokou hodnotou.
