ForceCopy Stealer
Ugotovljeno je bilo, da hekerska skupina Kimsuky, povezana s Severno Korejo, uporablja napade lažnega predstavljanja za distribucijo na novo ugotovljene zlonamerne programske opreme za krajo informacij, imenovane forceCopy. Ti napadi se začnejo z lažnim e-poštnim sporočilom, ki vsebuje prikrito datoteko Windows bližnjice (LNK), ki je videti kot dokument Microsoft Office ali PDF. Nič hudega sluteči prejemniki, ki nevede odprejo datoteko, sprožijo verižno reakcijo, ki izvaja zlonamerne ukaze.
Kazalo
Izkoriščanje zakonitih orodij za dostavo nevarnih tovorov
Ko uporabnik vzpostavi interakcijo s škodljivo prilogo, se začne postopek okužbe z izvajanjem PowerShell ali »mshta.exe«, zakonitega pripomočka Windows, ki se uporablja za zagon datotek HTML Application (HTA). Ta tehnika omogoča napadalcem, da pridobijo in namestijo dodatno zlonamerno programsko opremo iz zunanjega vira, ne da bi pri tem vzbudili sum.
Uvajanje trojanskih konjev in orodij za oddaljeno namizje
Napadi na koncu povzročijo uvedbo znanih groženj, vključno s trojancem PEBBLEDASH in spremenjeno različico RDP Wrapper, odprtokodnega orodja, ki se uporablja za dostop do oddaljenega namizja. Poleg tega je uvedena zlonamerna programska oprema proxy, ki zagotavlja neprekinjeno povezavo med ogroženo napravo in zunanjim omrežjem napadalcev prek protokola oddaljenega namizja (RDP).
Keylogger in forceCopy: ciljanje na shranjene poverilnice
Kimsuky so prav tako opazili, da uporablja zapisovalnik tipk, ki temelji na PowerShell, za zajemanje pritiskov na tipke, kar dodatno izboljša njihovo sposobnost kraje občutljivih informacij. Poleg tega je na novo odkrita zlonamerna programska oprema forceCopy posebej zasnovana za ekstrahiranje datotek, shranjenih v imenikih spletnega brskalnika. To kaže na poskus obhoda varnostnih omejitev in neposrednega dostopa do konfiguracijskih datotek brskalnika, kjer so pogosto shranjene poverilnice za prijavo.
Strateški premik: uporaba RDP za nadzor gostitelja
Zanašanje skupine na RDP Wrapper in zlonamerno programsko opremo proxy poudarja taktičen premik v njihovem delovanju. Prej je Kimsuky za nadzor okuženih sistemov uporabljal predvsem stranska vrata po meri. Zdaj, z uporabo široko dostopnih orodij, želijo ohraniti obstojnost in hkrati zmanjšati možnosti za odkrivanje.
APT43: Dolgotrajna grožnja kibernetskega vohunjenja
Kimsuky, znan tudi pod vzdevki, kot so APT43, Black Banshee in Emerald Sleet, naj bi deloval pod Severnokorejskim generalnim izvidniškim uradom (RGB), vodilno zunanjo obveščevalno službo v državi. Skupina, ki je aktivna vsaj od leta 2012, ima dolgo zgodovino izvajanja prefinjenih napadov socialnega inženiringa, da bi zaobšla varnostne obrambe elektronske pošte.
Razširitev delovanja z ruskimi kampanjami lažnega predstavljanja
Nedavne ugotovitve kažejo, da je Kimsuky uporabljal phishing e-pošto, poslano iz ruskih e-poštnih storitev, za izvajanje kampanj kraje poverilnic. Ta prilagoditev, opažena decembra 2024, odraža razvijajočo se taktiko skupine, medtem ko še naprej izpopolnjuje svoje tehnike socialnega inženiringa, da cilja na posameznike in organizacije z visoko vrednostjo.
