forceCopy Stealer
Утврђено је да хакерска група Кимсуки повезана са Северном Корејом користи спеар-пхисхинг нападе за дистрибуцију новоидентификованог малвера за крађу информација под називом форцеЦопи. Ови напади почињу са пхисхинг порукама е-поште које садрже прикривену датотеку Виндовс пречице (ЛНК), направљену да изгледа као Мицрософт Оффице или ПДФ документ. Несуђени примаоци који несвесно отворе датотеку покренули су ланчану реакцију која извршава злонамерне команде.
Преглед садржаја
Искоришћавање легитимних алата за испоруку претећих корисних терета
Када корисник ступи у интеракцију са штетним прилогом, процес инфекције почиње извршавањем ПоверСхелл-а или 'мсхта.еке', легитимног Виндовс услужног програма који се користи за покретање датотека ХТМЛ апликације (ХТА). Ова техника омогућава нападачима да дохвате и примене додатни садржај злонамерног софтвера из спољног извора без изазивања сумње.
Примена тројанаца и алата за удаљену радну површину
Напади на крају резултирају применом познатих претњи, укључујући ПЕББЛЕДАСХ тројанца и модификовану верзију РДП Враппер-а, алата отвореног кода који се користи за приступ удаљеној радној површини. Поред тога, уведен је прокси малвер како би се осигурала континуирана веза између компромитованог уређаја и спољне мреже нападача путем протокола за удаљену радну површину (РДП).
Кеилоггер и форцеЦопи: Циљање сачуваних акредитива
Кимсуки је такође примећен како користи кеилоггер заснован на ПоверСхелл-у за снимање притисака на тастере, додатно побољшавајући њихову способност крађе осетљивих информација. Поред тога, новооткривени малвер форцеЦопи је посебно дизајниран за издвајање датотека ускладиштених у директоријумима веб претраживача. Ово сугерише покушај да се заобиђу безбедносна ограничења и да се директно приступи конфигурационим датотекама претраживача где се често чувају акредитиви за пријаву.
Стратешки помак: Коришћење РДП-а за контролу домаћина
Ослањање групе на РДП Враппер и проки малвер наглашава тактичку промену у њиховим операцијама. Раније је Кимсуки првенствено користио бацкдоор направљене по мери за контролу заражених система. Сада, коришћењем широко доступних алата, они имају за циљ да одрже упорност док смањују шансе за откривање.
АПТ43: Дугогодишња претња сајбер шпијунаже
Верује се да Кимсуки, познат и под псеудонимима као што су АПТ43, Блацк Бансхее и Емералд Слеет, делује под Генералним бироом за извиђање Северне Кореје (РГБ), водећом страном обавештајном службом у земљи. Активна од најмање 2012. године, група има дугу историју извођења софистицираних напада социјалног инжењеринга како би заобишла безбедносну одбрану е-поште.
Проширивање операција са пхисхинг кампањама заснованим на Русији
Недавна открића показују да је Кимсуки користио пхисхинг е-поруке послате са руских сервиса е-поште за спровођење кампања за крађу акредитива. Ова адаптација, примећена у децембру 2024, одражава тактику групе која се развија док наставља да усавршава своје технике социјалног инжењеринга како би циљала појединце и организације високе вредности.
