ForceCopy Stealer
Ang North Korea-linked hacking group na Kimsuky ay natagpuang gumagamit ng spear-phishing attacks upang ipamahagi ang isang bagong natukoy na malware sa pagnanakaw ng impormasyon na tinatawag na forceCopy. Nagsisimula ang mga pag-atakeng ito sa mga phishing na email na naglalaman ng isang nakatagong Windows shortcut (LNK) file, na ginawang parang isang Microsoft Office o PDF na dokumento. Ang mga hindi pinaghihinalaang tatanggap na nagbubukas ng file ay hindi sinasadyang nag-set off ng isang chain reaction na nagpapatupad ng mga nakakahamak na command.
Talaan ng mga Nilalaman
Pinagsasamantalahan ang Mga Lehitimong Tool para Maghatid ng Mga Nagbabantang Payload
Kapag nakipag-ugnayan na ang user sa mapaminsalang attachment, magsisimula ang proseso ng impeksyon sa pamamagitan ng pagsasagawa ng PowerShell o 'mshta.exe,' isang lehitimong Windows utility na ginagamit para magpatakbo ng HTML Application (HTA) na mga file. Binibigyang-daan ng diskarteng ito ang mga umaatake na kumuha at mag-deploy ng karagdagang mga payload ng malware mula sa isang panlabas na pinagmulan nang hindi nagtataas ng hinala.
Pag-deploy ng mga Trojan at Remote Desktop Tools
Ang mga pag-atake sa huli ay nagreresulta sa pag-deploy ng mga kilalang banta, kabilang ang PEBBLEDASH Trojan at isang binagong bersyon ng RDP Wrapper, isang open-source na tool na ginagamit para sa malayuang desktop access. Kasabay ng mga ito, ipinakilala ang proxy malware upang matiyak ang tuluy-tuloy na koneksyon sa pagitan ng nakompromisong device at sa panlabas na network ng mga umaatake sa pamamagitan ng Remote Desktop Protocol (RDP).
Isang Keylogger at forceCopy: Pag-target sa Mga Naka-imbak na Kredensyal
Nakita rin ang Kimsuky na gumagamit ng PowerShell-based na keylogger upang makuha ang mga keystroke, na higit na nagpapahusay sa kanilang kakayahang magnakaw ng sensitibong impormasyon. Bukod pa rito, ang bagong natuklasang forceCopy malware ay partikular na idinisenyo upang kunin ang mga file na nakaimbak sa mga direktoryo ng web browser. Iminumungkahi nito ang isang pagtatangka na i-bypass ang mga paghihigpit sa seguridad at direktang i-access ang mga file ng configuration ng browser kung saan madalas na nakaimbak ang mga kredensyal sa pag-log in.
Isang Strategic Shift: Paggamit ng RDP para sa Host Control
Ang pagtitiwala ng grupo sa RDP Wrapper at proxy malware ay nagpapakita ng isang taktikal na pagbabago sa kanilang mga operasyon. Dati, pangunahing ginamit ni Kimsuky ang mga custom-built na backdoor para kontrolin ang mga nahawaang system. Ngayon, sa pamamagitan ng paggamit ng malawak na magagamit na mga tool, nilalayon nilang mapanatili ang pagtitiyaga habang binabawasan ang mga pagkakataong matukoy.
APT43: Isang Long-Standing Cyber Espionage Threat
Ang Kimsuky, na kilala rin sa mga alyas tulad ng APT43, Black Banshee, at Emerald Sleet, ay pinaniniwalaang nagpapatakbo sa ilalim ng Reconnaissance General Bureau (RGB) ng North Korea, ang nangungunang foreign intelligence service ng bansa. Aktibo mula noong hindi bababa sa 2012, ang grupo ay may mahabang kasaysayan ng pagsasagawa ng mga sopistikadong pag-atake sa social engineering upang i-bypass ang mga panlaban sa seguridad ng email.
Pagpapalawak ng Mga Operasyon gamit ang Russian-Based Phishing Campaign
Ipinapahiwatig ng mga kamakailang natuklasan na si Kimsuky ay gumagamit ng mga phishing na email na ipinadala mula sa mga serbisyo ng email sa Russia upang magsagawa ng mga kampanya sa pagnanakaw ng kredensyal. Ang adaptasyon na ito, na naobserbahan noong Disyembre 2024, ay sumasalamin sa mga umuusbong na taktika ng grupo habang patuloy nitong pinipino ang mga diskarte sa social engineering nito upang i-target ang mga indibidwal at organisasyon na may mataas na halaga.
