ФПСпи Малваре
Групе претњи које су повезане са Северном Корејом идентификоване су коришћењем два новоразвијена алата позната као КЛогЕКСЕ и ФПСпи. Ова активност је повезана са актером претње који се назива Кимсуки, такође препознатим под псеудонимима као што су АПТ43, АРЦХИПЕЛАГО, Блацк Бансхее, Емералд Слеет (раније Тхаллиум), Спарклинг Писцес, Спрингтаил и Велвет Цхоллима. Ови нови алати проширују већ значајан сет алата Спарклинг Риба, одражавајући текућу еволуцију и растућу софистицираност групе.
Преглед садржаја
Софистицирани глумац претњи који делује више од деценије
Активан најмање од 2012. године, актер претњи је назван „краљем пхисхинга“ због своје способности да превари жртве да преузму малвер слањем е-порука због којих се чини да су од проверених страна. Истраживачка анализа Кимсукијеве инфраструктуре открила је две нове преносиве извршне датотеке које се називају КЛогЕКСЕ и ФПСпи.
Познато је да се ови сојеви малвера испоручују првенствено путем спеар-пхисхинг напада. На основу доступних информација, чини се да зли оператери ове кампање фаворизују нападе социјалног инжењеринга у облику пхисхинг мејлова који се шаљу њиховим метама."
Ове пажљиво израђене поруке е-поште имају језик дизајниран да намами мете да преузму ЗИП датотеку приложену уз е-пошту. Циљеви се често подстичу да екстрахују оштећене датотеке, које након извршења покрећу ланац инфекције – на крају испоручујући ове врсте малвера.
ФПСпи је опремљен бројним инвазивним могућностима
Верује се да је ФПСпи варијанта бацкдоор-а који је први пут открио АхнЛаб 2022. године, показујући сличности са претњом коју је документовао Цибереасон под именом КГХ_СПИ крајем 2020. Осим кеилоггинг-а, ФПСпи је дизајниран за прикупљање детаља о систему, преузимање и примену додатних корисних података, извршавају произвољне команде и скенирају диск јединице, фасцикле и датотеке на компромитованом систему.
У међувремену, КЛогЕке, још једна новоидентификована претња, је Ц++ адаптација Кеилоггер-а заснованог на ПоверСхелл-у под називом ИнфоКеи, који је претходно означио ЈПЦЕРТ/ЦЦ у кампањи Кимсуки која циља јапанске ентитете. Овај алат је опремљен за хватање и ексфилтрирање података о активним апликацијама, притиском на тастере и покретима миша на погођеној машини.
Високо циљана нападна кампања
Стручњаци за сајбер безбедност су идентификовали сличности у изворном коду и КЛогЕке и ФПСпи, што указује да их је вероватно развио исти аутор. Док Кимсуки има историју циљања на различите регионе и секторе, чини се да је ова кампања фокусирана на организације у Јапану и Јужној Кореји.
С обзиром на циљану и селективну природу ових операција, истраживачи су закључили да је мало вероватно да ће кампања бити широко распрострањена. Уместо тога, чини се да је ограничен на специфичне индустрије и првенствено на Јапан и Јужну Кореју.
