forceCopy Stealer

กลุ่มแฮกเกอร์ Kimsuky ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือ ถูกพบว่าใช้การโจมตีแบบฟิชชิ่งเพื่อเผยแพร่มัลแวร์ขโมยข้อมูลที่เพิ่งค้นพบใหม่ที่เรียกว่า forceCopy การโจมตีเหล่านี้เริ่มต้นด้วยอีเมลฟิชชิ่งที่มีไฟล์ทางลัดของ Windows (LNK) ที่ปลอมตัวมาเพื่อให้ดูเหมือนเอกสาร Microsoft Office หรือ PDF ผู้รับที่ไม่สงสัยจะเปิดไฟล์ดังกล่าวโดยไม่รู้ตัว ทำให้เกิดปฏิกิริยาลูกโซ่ที่ดำเนินการคำสั่งที่เป็นอันตราย

การใช้ประโยชน์จากเครื่องมือที่ถูกกฎหมายเพื่อส่งมอบเพย์โหลดที่คุกคาม

เมื่อผู้ใช้โต้ตอบกับไฟล์แนบที่เป็นอันตราย กระบวนการติดเชื้อจะเริ่มต้นขึ้นโดยเรียกใช้ PowerShell หรือ 'mshta.exe' ซึ่งเป็นยูทิลิตี้ Windows ที่ถูกต้องตามกฎหมายที่ใช้เพื่อเรียกใช้ไฟล์ HTML Application (HTA) เทคนิคนี้ช่วยให้ผู้โจมตีสามารถดึงและปรับใช้เพย์โหลดมัลแวร์เพิ่มเติมจากแหล่งภายนอกได้โดยไม่ทำให้เกิดความสงสัย

การใช้โทรจันและเครื่องมือเดสก์ท็อประยะไกล

การโจมตีดังกล่าวส่งผลให้เกิดการใช้ภัยคุกคามที่ทราบกันดี เช่น โทรจัน PEBBLEDASH และ RDP Wrapper เวอร์ชันดัดแปลง ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ใช้สำหรับการเข้าถึงเดสก์ท็อประยะไกล นอกจากนี้ ยังมีการใช้มัลแวร์พร็อกซีเพื่อให้แน่ใจว่ามีการเชื่อมต่ออย่างต่อเนื่องระหว่างอุปกรณ์ที่ถูกบุกรุกและเครือข่ายภายนอกของผู้โจมตีผ่าน Remote Desktop Protocol (RDP)

Keylogger และ forceCopy: การกำหนดเป้าหมายข้อมูลรับรองที่จัดเก็บไว้

นอกจากนี้ Kimsuky ยังถูกพบเห็นว่าใช้โปรแกรมบันทึกการกดแป้นพิมพ์ที่ใช้ PowerShell เพื่อดักจับการกดแป้นพิมพ์ ซึ่งทำให้สามารถขโมยข้อมูลสำคัญได้ดีขึ้น นอกจากนี้ มัลแวร์ ForceCopy ที่เพิ่งค้นพบใหม่ยังได้รับการออกแบบมาโดยเฉพาะเพื่อแยกไฟล์ที่เก็บไว้ในไดเร็กทอรีของเบราว์เซอร์เว็บ ซึ่งบ่งชี้ถึงความพยายามที่จะหลีกเลี่ยงข้อจำกัดด้านความปลอดภัยและเข้าถึงไฟล์การกำหนดค่าเบราว์เซอร์โดยตรง ซึ่งมักเป็นไฟล์ที่เก็บข้อมูลรับรองการเข้าสู่ระบบ

การเปลี่ยนแปลงเชิงกลยุทธ์: การใช้ RDP สำหรับการควบคุมโฮสต์

การที่กลุ่มนี้พึ่งพา RDP Wrapper และมัลแวร์พร็อกซีนั้นแสดงให้เห็นถึงการเปลี่ยนแปลงเชิงกลยุทธ์ในการทำงานของพวกเขา ก่อนหน้านี้ Kimsuky ใช้แบ็คดอร์ที่สร้างขึ้นเองเป็นหลักในการควบคุมระบบที่ติดไวรัส ปัจจุบัน พวกเขามุ่งหวังที่จะรักษาความต่อเนื่องในขณะที่ลดโอกาสในการตรวจจับ โดยใช้ประโยชน์จากเครื่องมือที่มีอยู่ทั่วไป

APT43: ภัยคุกคามจากการจารกรรมทางไซเบอร์ที่ดำเนินมายาวนาน

เชื่อกันว่า Kimsuky หรือที่รู้จักกันในชื่อแฝงอื่นๆ เช่น APT43, Black Banshee และ Emerald Sleet ปฏิบัติการภายใต้หน่วยข่าวกรองแห่งชาติเกาหลีเหนือ (RGB) ซึ่งเป็นหน่วยข่าวกรองต่างประเทศชั้นนำของเกาหลีเหนือ กลุ่มนี้ซึ่งเคลื่อนไหวมาตั้งแต่ปี 2012 เป็นอย่างน้อย มีประวัติยาวนานในการโจมตีทางวิศวกรรมสังคมที่ซับซ้อนเพื่อหลบเลี่ยงการป้องกันความปลอดภัยอีเมล

ขยายการปฏิบัติการด้วยแคมเปญฟิชชิ่งที่ใช้รัสเซีย

ผลการศึกษาล่าสุดระบุว่า Kimsuky ได้ใช้อีเมลฟิชชิ่งที่ส่งจากบริการอีเมลของรัสเซียเพื่อดำเนินการแคมเปญขโมยข้อมูลประจำตัว การปรับเปลี่ยนนี้ซึ่งสังเกตได้ในเดือนธันวาคม 2024 สะท้อนให้เห็นถึงกลยุทธ์ที่พัฒนาอย่างต่อเนื่องของกลุ่มในขณะที่กลุ่มยังคงปรับปรุงเทคนิคทางวิศวกรรมสังคมเพื่อกำหนดเป้าหมายบุคคลและองค์กรที่มีคุณค่าสูง