มัลแวร์ FPSpy
กลุ่มภัยคุกคามที่เชื่อมโยงกับเกาหลีเหนือได้รับการระบุโดยใช้เครื่องมือที่พัฒนาขึ้นใหม่ 2 ตัวที่เรียกว่า KLogEXE และ FPSpy กิจกรรมนี้เชื่อมโยงกับผู้ก่อภัยคุกคามที่เรียกว่า Kimsuky ซึ่งรู้จักกันในชื่ออื่น เช่น APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (เดิมชื่อ Thallium), Sparkling Pisces, Springtail และ Velvet Chollima เครื่องมือใหม่เหล่านี้ขยายชุดเครื่องมือที่มีอยู่แล้วของ Sparkling Pisces ซึ่งสะท้อนถึงวิวัฒนาการอย่างต่อเนื่องและความซับซ้อนที่เพิ่มมากขึ้นของกลุ่ม
สารบัญ
ผู้ก่อภัยคุกคามที่มีความซับซ้อนซึ่งปฏิบัติการมานานกว่าทศวรรษ
ผู้ก่อภัยคุกคามนี้เริ่มดำเนินการมาตั้งแต่ปี 2012 เป็นอย่างน้อย และได้รับการขนานนามว่าเป็น "ราชาแห่งการฟิชชิ่งแบบเจาะจง" เนื่องจากสามารถหลอกล่อเหยื่อให้ดาวน์โหลดมัลแวร์ด้วยการส่งอีเมลที่ทำให้ดูเหมือนว่าพวกเขามาจากบุคคลที่เชื่อถือได้ นักวิจัยวิเคราะห์โครงสร้างพื้นฐานของ Kimsuki และค้นพบไฟล์ปฏิบัติการพกพาใหม่ 2 ไฟล์ที่เรียกว่า KLogEXE และ FPSpy
เป็นที่ทราบกันดีว่ามัลแวร์สายพันธุ์เหล่านี้มักถูกส่งผ่านการโจมตีแบบสเปียร์ฟิชชิ่งเป็นหลัก จากข้อมูลที่มีอยู่ ดูเหมือนว่าผู้ดำเนินการที่ชั่วร้ายของแคมเปญนี้มักสนับสนุนการโจมตีทางวิศวกรรมสังคมในรูปแบบของอีเมลสเปียร์ฟิชชิ่งที่ส่งไปยังเป้าหมาย
อีเมลที่ออกแบบมาอย่างพิถีพิถันเหล่านี้มีภาษาที่ออกแบบมาเพื่อล่อเป้าหมายให้ดาวน์โหลดไฟล์ ZIP ที่แนบมากับอีเมล บ่อยครั้งที่เป้าหมายได้รับการสนับสนุนให้แยกไฟล์ที่เสียหาย ซึ่งเมื่อดำเนินการแล้วจะเรียกใช้ห่วงโซ่การติดเชื้อ ซึ่งท้ายที่สุดแล้วจะส่งมัลแวร์เหล่านี้มาให้
FPSpy มาพร้อมกับความสามารถในการบุกรุกมากมาย
FPSpy เชื่อกันว่าเป็นรูปแบบหนึ่งของแบ็คดอร์ที่ AhnLab เปิดเผยครั้งแรกในปี 2022 ซึ่งมีความคล้ายคลึงกับภัยคุกคามที่ Cybereason บันทึกไว้ในชื่อ KGH_SPY ในช่วงปลายปี 2020 นอกเหนือจากการบันทึกแป้นพิมพ์แล้ว FPSpy ยังได้รับการออกแบบมาเพื่อรวบรวมรายละเอียดระบบ ดาวน์โหลดและปรับใช้เพย์โหลดเพิ่มเติม ดำเนินการคำสั่งตามอำเภอใจ และสแกนไดรฟ์ โฟลเดอร์ และไฟล์บนระบบที่ถูกบุกรุก
ในขณะเดียวกัน KLogExe ซึ่งเป็นภัยคุกคามที่เพิ่งถูกระบุตัวใหม่ เป็นโปรแกรม C++ ที่ดัดแปลงมาจากโปรแกรมล็อกเกอร์ที่ใช้ PowerShell ชื่อว่า InfoKey ซึ่งก่อนหน้านี้ JPCERT/CC ได้ทำเครื่องหมายไว้ในการรณรงค์ของ Kimsuky ที่กำหนดเป้าหมายไปที่หน่วยงานของญี่ปุ่น เครื่องมือนี้ติดตั้งไว้เพื่อจับและขโมยข้อมูลเกี่ยวกับแอปพลิเคชันที่ใช้งานอยู่ คีย์สโตรก และการเคลื่อนไหวของเมาส์บนเครื่องที่ได้รับผลกระทบ
แคมเปญโจมตีที่มีเป้าหมายสูง
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงความคล้ายคลึงกันในซอร์สโค้ดของทั้ง KLogExe และ FPSpy ซึ่งบ่งชี้ว่าโค้ดทั้งสองน่าจะได้รับการพัฒนาโดยผู้เขียนคนเดียวกัน แม้ว่า Kimsuky จะมีประวัติในการกำหนดเป้าหมายไปที่ภูมิภาคและภาคส่วนต่างๆ แต่แคมเปญนี้โดยเฉพาะดูเหมือนจะมุ่งเน้นไปที่องค์กรในญี่ปุ่นและเกาหลีใต้
เมื่อพิจารณาจากลักษณะการปฏิบัติการที่มุ่งเป้าหมายและคัดเลือกเป็นพิเศษ นักวิจัยจึงสรุปได้ว่าการรณรงค์ดังกล่าวไม่น่าจะแพร่หลายไปทั่ว แต่กลับดูเหมือนว่าจะจำกัดอยู่เฉพาะอุตสาหกรรมเฉพาะและจำกัดเฉพาะในญี่ปุ่นและเกาหลีใต้เป็นหลัก
