Malware FPSpy
Grupet e kërcënimit të lidhura me Korenë e Veriut janë identifikuar duke përdorur dy mjete të reja të zhvilluara të njohura si KLogEXE dhe FPSpy. Ky aktivitet ka qenë i lidhur me një aktor kërcënimi të referuar si Kimsuky, i njohur gjithashtu nën pseudonimet si APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ish Thallium), Sparkling Peshqit, Springtail dhe Velvet Chollima. Këto mjete të freskëta zgjerojnë paketën e veglave tashmë të konsiderueshme të Peshqve me gaz, duke pasqyruar evolucionin e vazhdueshëm të grupit dhe sofistikimin në rritje.
Tabela e Përmbajtjes
Një aktor i sofistikuar kërcënimi që vepron për më shumë se një dekadë
Aktiv që nga viti 2012, aktori i kërcënimit është quajtur 'mbreti i phishing-ut me shtizë' për aftësinë e tij për të mashtruar viktimat për të shkarkuar malware duke dërguar email që e bëjnë të duket sikur janë nga palë të besuara. Analiza e studiuesve për infrastrukturën e Kimsuki ka zbuluar dy ekzekutues të rinj portativë të referuar si KLogEXE dhe FPSpy.
Këto lloje malware dihet se shpërndahen kryesisht nëpërmjet sulmeve spear-phishing. Bazuar në informacionin e disponueshëm, duket se operatorët e këqij të kësaj fushate favorizojnë sulmet e inxhinierisë sociale në formën e email-eve spear-phishing dërguar objektivave të tyre”.
Këto emaile të krijuara me kujdes kanë një gjuhë të krijuar për të joshur objektivat në shkarkimin e një skedari ZIP të bashkangjitur në email. Objektivat shpesh inkurajohen të nxjerrin skedarë të korruptuar, të cilët pas ekzekutimit thërrasin zinxhirin e infeksionit – duke dhënë përfundimisht këto lloje malware.
FPSpy është i pajisur me aftësi të shumta pushtuese
FPSpy besohet të jetë një variant i një "backdoor" të ekspozuar për herë të parë nga AhnLab në 2022, duke treguar ngjashmëri me një kërcënim të dokumentuar nga Cybereason me emrin KGH_SPY në fund të vitit 2020. Përtej regjistrimit të tastierëve, FPSpy është krijuar për të mbledhur detaje të sistemit, për të shkarkuar dhe vendosur ngarkesa shtesë. ekzekutoni komanda arbitrare dhe skanoni disqet, dosjet dhe skedarët në sistemin e komprometuar.
Ndërkohë, KLogExe, një tjetër kërcënim i identifikuar rishtazi, është një përshtatje C++ e një keylogger të bazuar në PowerShell të quajtur InfoKey, i shënuar më parë nga JPCERT/CC në një fushatë Kimsuky që synon entitetet japoneze. Ky mjet është i pajisur për të kapur dhe nxjerrë të dhëna në lidhje me aplikacionet aktive, goditjet e tasteve dhe lëvizjet e miut në makinën e prekur.
Një fushatë sulmi me objektiv të lartë
Ekspertët e sigurisë kibernetike kanë identifikuar ngjashmëri në kodin burimor të KLogExe dhe FPSpy, duke treguar se ato ka të ngjarë të jenë zhvilluar nga i njëjti autor. Ndërsa Kimsuky ka një histori të synimit të rajoneve dhe sektorëve të ndryshëm, kjo fushatë e veçantë duket e fokusuar në organizata në Japoni dhe Korenë e Jugut.
Duke pasur parasysh natyrën e synuar dhe selektive të këtyre operacioneve, studiuesit kanë arritur në përfundimin se fushata nuk ka gjasa të jetë e përhapur. Në vend të kësaj, ajo duket e kufizuar në industri specifike dhe e kufizuar kryesisht në Japoni dhe Korenë e Jugut.
