FPSpy మాల్వేర్

KLogEXE మరియు FPSpy అని పిలువబడే రెండు కొత్తగా అభివృద్ధి చేసిన సాధనాలను ఉపయోగించి ఉత్తర కొరియాతో ముడిపడి ఉన్న ముప్పు సమూహాలు గుర్తించబడ్డాయి. ఈ కార్యకలాపం కిమ్సుకీ అని పిలవబడే ముప్పు నటుడికి అనుసంధానించబడింది, APT43, ఆర్కిపెలాగో, బ్లాక్ బాన్షీ, ఎమరాల్డ్ స్లీట్ (గతంలో థాలియం), స్పార్క్లింగ్ మీనం, స్ప్రింగ్‌టైల్ మరియు వెల్వెట్ చోల్లిమా వంటి మారుపేర్లతో కూడా గుర్తించబడింది. ఈ తాజా సాధనాలు మెరిసే మీనం యొక్క ఇప్పటికే గణనీయమైన టూల్‌కిట్‌ను విస్తరింపజేస్తాయి, ఇది సమూహం యొక్క కొనసాగుతున్న పరిణామం మరియు పెరుగుతున్న అధునాతనతను ప్రతిబింబిస్తుంది.

ఒక దశాబ్దం పాటు పనిచేస్తున్న అధునాతన థ్రెట్ యాక్టర్

కనీసం 2012 నుండి యాక్టివ్‌గా ఉన్న బెదిరింపు నటుడిని 'కింగ్ ఆఫ్ స్పియర్ ఫిషింగ్' అని పిలుస్తారు, వారు విశ్వసనీయ పార్టీల నుండి వచ్చినట్లు అనిపించేలా ఇమెయిల్‌లను పంపడం ద్వారా మాల్‌వేర్‌ను డౌన్‌లోడ్ చేసేలా బాధితులను మోసగించే సామర్థ్యం కోసం. కిమ్సుకి యొక్క అవస్థాపనపై పరిశోధకుల విశ్లేషణ KLogEXE మరియు FPSpyగా సూచించబడే రెండు కొత్త పోర్టబుల్ ఎగ్జిక్యూటబుల్‌లను కనుగొంది.

ఈ మాల్వేర్ జాతులు ప్రధానంగా స్పియర్-ఫిషింగ్ దాడుల ద్వారా పంపిణీ చేయబడతాయి. అందుబాటులో ఉన్న సమాచారం ఆధారంగా, ఈ ప్రచారం యొక్క దుష్ట ఆపరేటర్లు తమ లక్ష్యాలకు పంపిన స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల రూపంలో సోషల్ ఇంజనీరింగ్ దాడులకు అనుకూలంగా ఉన్నట్లు కనిపిస్తోంది."

జాగ్రత్తగా రూపొందించబడిన ఈ ఇమెయిల్‌లు ఇమెయిల్‌కు జోడించబడిన జిప్ ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి లక్ష్యాలను ఆకర్షించడానికి రూపొందించబడిన భాషని కలిగి ఉంటాయి. పాడైన ఫైల్‌లను సంగ్రహించడానికి లక్ష్యాలు తరచుగా ప్రోత్సహించబడతాయి, ఇది అమలు చేయబడిన తర్వాత సంక్రమణ గొలుసును ప్రేరేపిస్తుంది - చివరికి ఈ మాల్వేర్ జాతులను పంపిణీ చేస్తుంది.

FPSpy అనేక ఇన్వాసివ్ సామర్థ్యాలతో అమర్చబడింది

FPSpy అనేది 2022లో అహ్న్‌ల్యాబ్ ద్వారా మొదటిసారిగా బహిర్గతం చేయబడిన బ్యాక్‌డోర్ యొక్క వైవిధ్యంగా విశ్వసించబడింది, 2020 చివరిలో KGH_SPY పేరుతో సైబర్‌జన్ డాక్యుమెంట్ చేసిన ముప్పుకు సారూప్యతను చూపుతుంది. ఏకపక్ష ఆదేశాలను అమలు చేయండి మరియు రాజీపడిన సిస్టమ్‌లో డ్రైవ్‌లు, ఫోల్డర్‌లు మరియు ఫైల్‌లను స్కాన్ చేయండి.

ఇంతలో, KLogExe, కొత్తగా గుర్తించబడిన మరొక ముప్పు, ఇది InfoKey అని పిలువబడే పవర్‌షెల్-ఆధారిత కీలాగర్ యొక్క C++ అనుసరణ, జపనీస్ సంస్థలను లక్ష్యంగా చేసుకుని Kimsuky ప్రచారంలో JPCERT/CC గతంలో ఫ్లాగ్ చేయబడింది. ప్రభావితమైన మెషీన్‌లో యాక్టివ్ అప్లికేషన్‌లు, కీస్ట్రోక్‌లు మరియు మౌస్ కదలికల గురించిన డేటాను క్యాప్చర్ చేయడానికి మరియు ఎక్స్‌ఫిల్ట్రేట్ చేయడానికి ఈ సాధనం అమర్చబడింది.

అత్యంత లక్ష్యంగా చేసుకున్న దాడి ప్రచారం

సైబర్‌ సెక్యూరిటీ నిపుణులు KLogExe మరియు FPSpy రెండింటి సోర్స్ కోడ్‌లో సారూప్యతలను గుర్తించారు, అవి ఒకే రచయితచే అభివృద్ధి చేయబడతాయని సూచిస్తున్నాయి. కిమ్సుకీకి వివిధ ప్రాంతాలు మరియు రంగాలను లక్ష్యంగా చేసుకున్న చరిత్ర ఉన్నప్పటికీ, ఈ ప్రత్యేక ప్రచారం జపాన్ మరియు దక్షిణ కొరియాలోని సంస్థలపై దృష్టి సారించింది.

ఈ కార్యకలాపాల యొక్క లక్ష్య మరియు ఎంపిక స్వభావాన్ని బట్టి, ఈ ప్రచారం విస్తృతంగా ఉండే అవకాశం లేదని పరిశోధకులు నిర్ధారించారు. బదులుగా, ఇది నిర్దిష్ట పరిశ్రమలకే పరిమితం చేయబడింది మరియు ప్రధానంగా జపాన్ మరియు దక్షిణ కొరియాకు పరిమితం చేయబడింది.