forceCopy Stealer

ఉత్తర కొరియాతో సంబంధం ఉన్న హ్యాకింగ్ గ్రూప్ కిమ్సుకీ, ఫోర్స్‌కాపీ అనే కొత్తగా గుర్తించబడిన సమాచారాన్ని దొంగిలించే మాల్వేర్‌ను పంపిణీ చేయడానికి స్పియర్-ఫిషింగ్ దాడులను ఉపయోగిస్తున్నట్లు కనుగొనబడింది. ఈ దాడులు మైక్రోసాఫ్ట్ ఆఫీస్ లేదా PDF డాక్యుమెంట్ లాగా కనిపించేలా తయారు చేయబడిన మారువేషంలో ఉన్న విండోస్ షార్ట్‌కట్ (LNK) ఫైల్‌ను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతాయి. తెలియకుండానే ఫైల్‌ను తెరిచే అనుమానించని గ్రహీతలు హానికరమైన ఆదేశాలను అమలు చేసే గొలుసు ప్రతిచర్యను ప్రారంభిస్తారు.

బెదిరింపు పేలోడ్‌లను అందించడానికి చట్టబద్ధమైన సాధనాలను ఉపయోగించడం

వినియోగదారుడు హానికరమైన అటాచ్‌మెంట్‌తో సంభాషించిన తర్వాత, HTML అప్లికేషన్ (HTA) ఫైల్‌లను అమలు చేయడానికి ఉపయోగించే చట్టబద్ధమైన విండోస్ యుటిలిటీ అయిన పవర్‌షెల్ లేదా 'mshta.exe'ని అమలు చేయడం ద్వారా ఇన్‌ఫెక్షన్ ప్రక్రియ ప్రారంభమవుతుంది. ఈ టెక్నిక్ దాడి చేసేవారికి అనుమానం రాకుండా బాహ్య మూలం నుండి అదనపు మాల్వేర్ పేలోడ్‌లను పొందేందుకు మరియు అమలు చేయడానికి అనుమతిస్తుంది.

ట్రోజన్లు మరియు రిమోట్ డెస్క్‌టాప్ సాధనాలను అమలు చేయడం

ఈ దాడులు చివరికి తెలిసిన బెదిరింపుల విస్తరణకు దారితీస్తాయి, వీటిలో PEBBLEDASH ట్రోజన్ మరియు రిమోట్ డెస్క్‌టాప్ యాక్సెస్ కోసం ఉపయోగించే ఓపెన్-సోర్స్ సాధనం RDP రేపర్ యొక్క సవరించిన వెర్షన్ ఉన్నాయి. వీటితో పాటు, రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) ద్వారా రాజీపడిన పరికరం మరియు దాడి చేసేవారి బాహ్య నెట్‌వర్క్ మధ్య నిరంతర కనెక్షన్‌ను నిర్ధారించడానికి ప్రాక్సీ మాల్వేర్ ప్రవేశపెట్టబడింది.

కీలాగర్ మరియు ఫోర్స్‌కాపీ: నిల్వ చేసిన ఆధారాలను లక్ష్యంగా చేసుకోవడం

కీస్ట్రోక్‌లను సంగ్రహించడానికి కిమ్సుకీ పవర్‌షెల్ ఆధారిత కీలాగర్‌ను ఉపయోగిస్తున్నట్లు కూడా కనిపించింది, ఇది సున్నితమైన సమాచారాన్ని దొంగిలించే వారి సామర్థ్యాన్ని మరింత పెంచుతుంది. అదనంగా, కొత్తగా కనుగొనబడిన ఫోర్స్‌కాపీ మాల్వేర్ వెబ్ బ్రౌజర్ డైరెక్టరీలలో నిల్వ చేయబడిన ఫైల్‌లను సంగ్రహించడానికి ప్రత్యేకంగా రూపొందించబడింది. ఇది భద్రతా పరిమితులను దాటవేయడానికి మరియు లాగిన్ ఆధారాలు తరచుగా నిల్వ చేయబడిన బ్రౌజర్ కాన్ఫిగరేషన్ ఫైల్‌లను నేరుగా యాక్సెస్ చేయడానికి ప్రయత్నాన్ని సూచిస్తుంది.

వ్యూహాత్మక మార్పు: హోస్ట్ కంట్రోల్ కోసం RDPని ఉపయోగించడం

RDP రేపర్ మరియు ప్రాక్సీ మాల్వేర్‌పై ఆ బృందం ఆధారపడటం వారి కార్యకలాపాలలో వ్యూహాత్మక మార్పును హైలైట్ చేస్తుంది. గతంలో, కిమ్సుకీ ప్రధానంగా సోకిన వ్యవస్థలను నియంత్రించడానికి కస్టమ్-బిల్ట్ బ్యాక్‌డోర్‌లను ఉపయోగించింది. ఇప్పుడు, విస్తృతంగా అందుబాటులో ఉన్న సాధనాలను ఉపయోగించడం ద్వారా, వారు గుర్తించే అవకాశాలను తగ్గించుకుంటూ నిలకడను కొనసాగించాలని లక్ష్యంగా పెట్టుకున్నారు.

APT43: చాలా కాలంగా ఉన్న సైబర్ గూఢచర్య ముప్పు

APT43, బ్లాక్ బాన్షీ మరియు ఎమరాల్డ్ స్లీట్ వంటి మారుపేర్లతో కూడా పిలువబడే కిమ్సుకీ, దేశంలోని ప్రముఖ విదేశీ నిఘా సేవ అయిన ఉత్తర కొరియా యొక్క రికనైసెన్స్ జనరల్ బ్యూరో (RGB) కింద పనిచేస్తుందని నమ్ముతారు. కనీసం 2012 నుండి చురుకుగా ఉన్న ఈ బృందం ఇమెయిల్ భద్రతా రక్షణలను దాటవేయడానికి అధునాతన సోషల్ ఇంజనీరింగ్ దాడులను అమలు చేయడంలో సుదీర్ఘ చరిత్రను కలిగి ఉంది.

రష్యన్ ఆధారిత ఫిషింగ్ ప్రచారాలతో కార్యకలాపాలను విస్తరించడం

రష్యన్ ఇమెయిల్ సేవల నుండి పంపబడిన ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించి ఆధారాల దొంగతనం ప్రచారాలను నిర్వహిస్తున్నట్లు ఇటీవలి పరిశోధనలు సూచిస్తున్నాయి. డిసెంబర్ 2024లో గమనించిన ఈ అనుసరణ, అధిక-విలువైన వ్యక్తులు మరియు సంస్థలను లక్ష్యంగా చేసుకోవడానికి దాని సోషల్ ఇంజనీరింగ్ పద్ధతులను మెరుగుపరుస్తూనే ఉన్నందున సమూహం యొక్క అభివృద్ధి చెందుతున్న వ్యూహాలను ప్రతిబింబిస్తుంది.