FPSpy skadlig programvara
Hotgrupper kopplade till Nordkorea har identifierats med hjälp av två nyutvecklade verktyg som kallas KLogEXE och FPSpy. Denna aktivitet har kopplats till en hotaktör kallad Kimsuky, även känd under alias som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidigare Thallium), Sparkling Pisces, Springtail och Velvet Chollima. Dessa fräscha verktyg utökar den redan betydande verktygslådan av Sparkling Pisces, vilket återspeglar gruppens pågående utveckling och växande sofistikering.
Innehållsförteckning
En sofistikerad hotskådespelare som verkat i över ett decennium
Hotaktören har varit aktiv sedan åtminstone 2012 och har kallats "kungen av spjutnätfiske" för sin förmåga att lura offer att ladda ner skadlig programvara genom att skicka e-postmeddelanden som får det att verka som om de är från betrodda parter. Forskarnas analys av Kimsukis infrastruktur har avslöjat två nya bärbara körbara filer som kallas KLogEXE och FPSpy.
Dessa skadliga stammar är kända för att levereras främst via spear-phishing-attacker. Baserat på den tillgängliga informationen verkar det som om de onda operatörerna av denna kampanj föredrar sociala ingenjörsattacker i form av e-postmeddelanden om spjutfiske som skickas till deras mål."
Dessa noggrant utformade e-postmeddelanden har ett språk som är utformat för att locka målen att ladda ner en ZIP-fil som bifogas e-postmeddelandet. Målen uppmuntras ofta att extrahera korrupta filer, som vid körning anropar infektionskedjan – så småningom levererar dessa skadliga stammar.
FPSpy är utrustad med många invasiva funktioner
FPSpy tros vara en variant av en bakdörr som först exponerades av AhnLab 2022, som visar likheter med ett hot som dokumenterades av Cybereason under namnet KGH_SPY i slutet av 2020. Utöver keylogging är FPSpy utformad för att samla in systemdetaljer, ladda ner och distribuera ytterligare nyttolaster, exekvera godtyckliga kommandon och skanna enheter, mappar och filer på det komprometterade systemet.
Samtidigt är KLogExe, ett annat nyligen identifierat hot, en C++-anpassning av en PowerShell-baserad keylogger som heter InfoKey, tidigare flaggad av JPCERT/CC i en Kimsuky-kampanj riktad mot japanska enheter. Detta verktyg är utrustat för att fånga och exfiltrera data om aktiva applikationer, tangenttryckningar och musrörelser på den berörda maskinen.
En mycket riktad attackkampanj
Cybersäkerhetsexperter har identifierat likheter i källkoden för både KLogExe och FPSpy, vilket indikerar att de troligen är utvecklade av samma författare. Även om Kimsuky har en historia av att rikta in sig på olika regioner och sektorer, verkar denna speciella kampanj fokuserad på organisationer i Japan och Sydkorea.
Med tanke på den riktade och selektiva karaktären hos dessa operationer har forskare kommit fram till att kampanjen sannolikt inte kommer att bli utbredd. Istället verkar det vara begränsat till specifika branscher och begränsat främst till Japan och Sydkorea.
