ForceCopy Stealer
Den Nordkorea-länkade hackargruppen Kimsuky har hittats använda spear-phishing-attacker för att distribuera en nyligen identifierad informationsstjäl skadlig kod som kallas forceCopy. Dessa attacker börjar med nätfiske-e-postmeddelanden som innehåller en förklädd Windows-genvägsfil (LNK), som är gjord för att se ut som ett Microsoft Office- eller PDF-dokument. Intet ont anande mottagare som öppnar filen omedvetet utlöser en kedjereaktion som utför skadliga kommandon.
Innehållsförteckning
Utnyttja legitima verktyg för att leverera hotfulla nyttolaster
När användaren interagerar med den skadliga bilagan, startar infektionsprocessen genom att köra PowerShell eller 'mshta.exe', ett legitimt Windows-verktyg som används för att köra HTML Application-filer (HTA). Denna teknik gör det möjligt för angriparna att hämta och distribuera ytterligare skadlig programvara från en extern källa utan att väcka misstankar.
Distribuera trojaner och verktyg för fjärrskrivbord
Attackerna resulterar i slutändan i utplacering av kända hot, inklusive PEBBLEDASH -trojanen och en modifierad version av RDP Wrapper, ett verktyg med öppen källkod som används för åtkomst till fjärrskrivbord. Vid sidan av dessa introduceras skadlig proxy för att säkerställa en kontinuerlig anslutning mellan den komprometterade enheten och angriparnas externa nätverk via Remote Desktop Protocol (RDP).
En Keylogger och forceCopy: Inriktning på lagrade referenser
Kimsuky har också setts använda en PowerShell-baserad keylogger för att fånga tangenttryckningar, vilket ytterligare förbättrar deras förmåga att stjäla känslig information. Dessutom är den nyupptäckta skadlig programvara ForceCopy speciellt utformad för att extrahera filer som lagras i webbläsarkataloger. Detta tyder på ett försök att kringgå säkerhetsbegränsningar och direkt komma åt webbläsarkonfigurationsfiler där inloggningsuppgifter ofta lagras.
Ett strategiskt skifte: Använda RDP för värdkontroll
Gruppens beroende av RDP Wrapper och proxy skadlig kod belyser en taktisk förändring i deras verksamhet. Tidigare använde Kimsuky främst specialbyggda bakdörrar för att kontrollera infekterade system. Nu, genom att utnyttja allmänt tillgängliga verktyg, strävar de efter att bibehålla uthållighet samtidigt som de minskar chanserna för upptäckt.
APT43: Ett långvarigt cyberspionagehot
Kimsuky, även känd under alias som APT43, Black Banshee och Emerald Sleet, tros verka under Nordkoreas Reconnaissance General Bureau (RGB), landets ledande utländska underrättelsetjänst. Gruppen har varit aktiv sedan åtminstone 2012 och har en lång historia av att utföra sofistikerade sociala ingenjörsattacker för att kringgå e-postsäkerhetsförsvar.
Utöka verksamheten med ryskbaserade nätfiskekampanjer
Nya fynd tyder på att Kimsuky har använt nätfiske-e-postmeddelanden som skickats från ryska e-posttjänster för att genomföra stöldkampanjer för autentiseringsuppgifter. Denna anpassning, som observerades i december 2024, speglar gruppens utvecklande taktik när den fortsätter att förfina sina sociala ingenjörstekniker för att rikta in sig på högvärdiga individer och organisationer.
