FPSpy malvér
Skupiny hrozieb spojené so Severnou Kóreou boli identifikované pomocou dvoch novo vyvinutých nástrojov známych ako KLogEXE a FPSpy. Táto aktivita je spojená s aktérom hrozby, ktorý sa označuje ako Kimsuky, ktorý je tiež známy pod prezývkami ako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (predtým Thallium), Sparkling Pisces, Springtail a Velvet Chollima. Tieto nové nástroje rozširujú už aj tak značnú sadu nástrojov Sparkling Pisces, odrážajú pokračujúci vývoj a rastúcu sofistikovanosť skupiny.
Obsah
Sofistikovaný hroziaci aktér pôsobiaci viac ako desaťročie
Hrozba, ktorá je aktívna minimálne od roku 2012, je nazývaná „kráľom kopijného phishingu“ pre svoju schopnosť oklamať obete, aby si stiahli malvér odosielaním e-mailov, v ktorých sa zdá, že pochádzajú od dôveryhodných strán. Analýza výskumníkov Kimsukiho infraštruktúry odhalila dva nové prenosné spustiteľné súbory označované ako KLogEXE a FPSpy.
Je známe, že tieto kmene škodlivého softvéru sa šíria predovšetkým prostredníctvom spear-phishingových útokov. Na základe dostupných informácií sa zdá, že zlí operátori tejto kampane uprednostňujú útoky sociálneho inžinierstva vo forme spear-phishingových e-mailov odoslaných ich cieľom.“
Tieto starostlivo vytvorené e-maily majú jazyk navrhnutý tak, aby nalákal ciele na stiahnutie súboru ZIP pripojeného k e-mailu. Ciele sa často vyzývajú, aby extrahovali poškodené súbory, ktoré po spustení vyvolajú infekčný reťazec – prípadne doručia tieto kmene škodlivého softvéru.
FPSpy je vybavený množstvom invazívnych schopností
Predpokladá sa, že FPSpy je variantom zadných vrátok, ktoré AhnLab prvýkrát odhalil v roku 2022, pričom vykazuje podobnosti s hrozbou zdokumentovanou spoločnosťou Cybereason pod názvom KGH_SPY koncom roka 2020. Okrem keyloggingu je FPSpy navrhnutý tak, aby zbieral podrobnosti o systéme, sťahoval a nasadzoval ďalšie užitočné zaťaženia, vykonávať ľubovoľné príkazy a skenovať disky, priečinky a súbory v napadnutom systéme.
Medzitým KLogExe, ďalšia novo identifikovaná hrozba, je adaptáciou C++ keyloggeru založeného na PowerShell s názvom InfoKey, ktorý predtým označil JPCERT/CC v kampani Kimsuky zameranej na japonské subjekty. Tento nástroj je vybavený na zachytávanie a extrakciu údajov o aktívnych aplikáciách, stlačeniach klávesov a pohyboch myši na postihnutom počítači.
Vysoko cielená útočná kampaň
Odborníci na kybernetickú bezpečnosť identifikovali podobnosti v zdrojovom kóde KLogExe aj FPSpy, čo naznačuje, že ich pravdepodobne vytvoril rovnaký autor. Zatiaľ čo Kimsuky má za sebou históriu zacielenia na rôzne regióny a sektory, zdá sa, že táto konkrétna kampaň je zameraná na organizácie v Japonsku a Južnej Kórei.
Vzhľadom na cielený a selektívny charakter týchto operácií vedci dospeli k záveru, že kampaň pravdepodobne nebude rozšírená. Namiesto toho sa zdá, že sa obmedzuje na konkrétne priemyselné odvetvia a obmedzuje sa predovšetkým na Japonsko a Južnú Kóreu.
