ForceCopy Stealer
Grupi i hakerëve i lidhur me Korenë e Veriut Kimsuky është gjetur duke përdorur sulme spear-phishing për të shpërndarë një malware të sapoidentifikuar për vjedhjen e informacionit të quajtur forceCopy. Këto sulme fillojnë me email phishing që përmbajnë një skedar të maskuar të shkurtoreve të Windows (LNK), të krijuar për t'u dukur si një dokument i Microsoft Office ose PDF. Marrësit që nuk dyshojnë, të cilët hapin skedarin pa e ditur, filluan një reaksion zinxhir që ekzekuton komanda me qëllim të keq.
Tabela e Përmbajtjes
Shfrytëzimi i mjeteve legjitime për të ofruar ngarkesa kërcënuese
Pasi përdoruesi ndërvepron me bashkëngjitjen e dëmshme, procesi i infeksionit fillon duke ekzekutuar PowerShell ose 'mshta.exe', një mjet legjitim i Windows që përdoret për të ekzekutuar skedarët e aplikacionit HTML (HTA). Kjo teknikë i lejon sulmuesit të marrin dhe të vendosin ngarkesa shtesë malware nga një burim i jashtëm pa ngritur dyshime.
Vendosja e trojanëve dhe mjeteve të desktopit në distancë
Sulmet përfundimisht rezultojnë në vendosjen e kërcënimeve të njohura, duke përfshirë Trojanin PEBBLEDASH dhe një version të modifikuar të RDP Wrapper, një mjet me burim të hapur që përdoret për qasje në desktop në distancë. Krahas këtyre, proxy malware është futur për të siguruar një lidhje të vazhdueshme midis pajisjes së komprometuar dhe rrjetit të jashtëm të sulmuesve nëpërmjet Protokollit të Desktopit në distancë (RDP).
Një Keylogger dhe ForceCopy: Synimi i kredencialeve të ruajtura
Kimsuky është parë gjithashtu duke përdorur një keylogger të bazuar në PowerShell për të kapur goditjet e tasteve, duke rritur më tej aftësinë e tyre për të vjedhur informacione të ndjeshme. Për më tepër, malware i sapo zbuluar forceCopy është krijuar posaçërisht për të nxjerrë skedarë të ruajtur në drejtoritë e shfletuesit të internetit. Kjo sugjeron një përpjekje për të anashkaluar kufizimet e sigurisë dhe për të hyrë drejtpërdrejt në skedarët e konfigurimit të shfletuesit ku shpesh ruhen kredencialet e hyrjes.
Një ndryshim strategjik: Përdorimi i RDP për kontrollin e hostit
Mbështetja e grupit në RDP Wrapper dhe proxy malware nxjerr në pah një ndryshim taktik në operacionet e tyre. Më parë, Kimsuky përdorte kryesisht dyer të pasme të ndërtuara me porosi për të kontrolluar sistemet e infektuara. Tani, duke shfrytëzuar mjetet e disponueshme gjerësisht, ata synojnë të ruajnë këmbënguljen duke reduktuar shanset e zbulimit.
APT43: Një kërcënim i gjatë i spiunazhit kibernetik
Kimsuky, i njohur gjithashtu me pseudonime si APT43, Black Banshee dhe Emerald Sleet, besohet se operon nën Byronë e Përgjithshme të Zbulimit të Koresë së Veriut (RGB), shërbimi kryesor i inteligjencës së jashtme të vendit. Aktiv që nga të paktën 2012, grupi ka një histori të gjatë të ekzekutimit të sulmeve të sofistikuara inxhinierike sociale për të anashkaluar mbrojtjen e sigurisë së emailit.
Zgjerimi i operacioneve me fushata phishing me bazë ruse
Gjetjet e fundit tregojnë se Kimsuky ka përdorur emaile phishing të dërguara nga shërbimet ruse të postës elektronike për të kryer fushata vjedhjeje kredenciale. Ky përshtatje, i vërejtur në dhjetor 2024, pasqyron taktikat në zhvillim të grupit ndërsa vazhdon të përsosë teknikat e tij të inxhinierisë sociale për të synuar individë dhe organizata me vlerë të lartë.
