Zlonamerna programska oprema FPSpy
Nevarne skupine, povezane s Severno Korejo, so bile identificirane z uporabo dveh na novo razvitih orodij, znanih kot KLogEXE in FPSpy. Ta dejavnost je bila povezana z akterjem grožnje, imenovanim Kimsuky, prepoznanim tudi pod vzdevki, kot so APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (prej Thallium), Sparkling Pisces, Springtail in Velvet Chollima. Ta sveža orodja razširjajo že tako velik nabor orodij Sparkling Pisces, kar odraža nenehni razvoj in naraščajočo prefinjenost skupine.
Kazalo
Sofisticiran igralec groženj, ki deluje že več kot desetletje
Grožnja, ki je aktivna vsaj od leta 2012, je bila imenovana "kralj lažnega predstavljanja" zaradi svoje sposobnosti, da žrtve preslepi v prenos zlonamerne programske opreme s pošiljanjem e-poštnih sporočil, ki se zdijo, kot da so od zaupanja vrednih oseb. Analiza infrastrukture Kimsuki, ki so jo opravili raziskovalci, je odkrila dve novi prenosni izvršljivi datoteki, imenovani KLogEXE in FPSpy.
Znano je, da se te različice zlonamerne programske opreme prenašajo predvsem prek napadov lažnega predstavljanja. Na podlagi razpoložljivih informacij se zdi, da zlobni izvajalci te kampanje dajejo prednost napadom socialnega inženiringa v obliki e-poštnih sporočil s lažnim predstavljanjem, poslanih njihovim tarčam."
Ta skrbno oblikovana e-poštna sporočila imajo jezik, zasnovan tako, da privabi tarče v prenos datoteke ZIP, priložene e-poštnemu sporočilu. Cilje se pogosto spodbuja, da ekstrahirajo poškodovane datoteke, ki po izvedbi prikličejo verigo okužbe – sčasoma zagotovijo te vrste zlonamerne programske opreme.
FPSpy je opremljen s številnimi invazivnimi zmogljivostmi
Verjame se, da je FPSpy različica stranskih vrat, ki jih je AhnLab prvič razkril leta 2022 in kaže podobnosti z grožnjo, ki jo je Cybereason dokumentiral pod imenom KGH_SPY konec leta 2020. Poleg beleženja tipkovnic je FPSpy zasnovan za zbiranje sistemskih podrobnosti, prenos in uvajanje dodatnega tovora, izvajati poljubne ukaze in pregledovati pogone, mape in datoteke v ogroženem sistemu.
Medtem je KLogExe, še ena na novo ugotovljena grožnja, prilagoditev C++ zapisovalnika tipk na osnovi PowerShell, imenovanega InfoKey, ki ga je JPCERT/CC predhodno označil v kampanji Kimsuky, ki cilja na japonske subjekte. To orodje je opremljeno za zajemanje in izločanje podatkov o aktivnih aplikacijah, pritiskih tipk in premikih miške na prizadetem računalniku.
Zelo ciljno usmerjena napadalna kampanja
Strokovnjaki za kibernetsko varnost so ugotovili podobnosti v izvorni kodi KLogExe in FPSpy, kar kaže, da ju je verjetno razvil isti avtor. Medtem ko ima Kimsuky zgodovino ciljanja na različne regije in sektorje, se zdi, da je ta posebna kampanja osredotočena na organizacije na Japonskem in v Južni Koreji.
Glede na ciljno usmerjeno in selektivno naravo teh operacij so raziskovalci ugotovili, da kampanja verjetno ne bo široko razširjena. Namesto tega se zdi, da je omejen na določene industrije in predvsem na Japonsko in Južno Korejo.
