FPSpy Malware
Natukoy ang mga grupo ng pagbabanta na naka-link sa North Korea gamit ang dalawang bagong binuo na tool na kilala bilang KLogEXE at FPSpy. Ang aktibidad na ito ay konektado sa isang banta na aktor na tinutukoy bilang Kimsuky, na kinikilala din sa ilalim ng mga alyas tulad ng APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dating Thallium), Sparkling Pisces, Springtail at Velvet Chollima. Pinapalawak ng mga bagong tool na ito ang napakaraming toolkit ng Sparkling Pisces, na sumasalamin sa patuloy na ebolusyon at lumalagong pagiging sopistikado ng grupo.
Talaan ng mga Nilalaman
Isang Sopistikadong Threat Actor na Gumagana nang Mahigit Isang Dekada
Aktibo mula noong hindi bababa sa 2012, ang threat actor ay tinawag na 'king of spear phishing' para sa kakayahang linlangin ang mga biktima sa pag-download ng malware sa pamamagitan ng pagpapadala ng mga email na tila sila ay mula sa mga pinagkakatiwalaang partido. Natuklasan ng pagsusuri ng mga mananaliksik sa imprastraktura ng Kimsuki ang dalawang bagong portable executable na tinutukoy bilang KLogEXE at FPSpy.
Ang mga strain ng malware na ito ay kilala na pangunahing naihahatid sa pamamagitan ng mga pag-atake ng spear-phishing. Batay sa magagamit na impormasyon, lumilitaw na ang mga masasamang operator ng kampanyang ito ay pinapaboran ang mga pag-atake ng social engineering sa anyo ng mga email ng spear-phishing na ipinadala sa kanilang mga target."
Ang maingat na ginawang mga email na ito ay may wikang idinisenyo upang akitin ang mga target na mag-download ng ZIP file na naka-attach sa email. Ang mga target ay madalas na hinihikayat na kunin ang mga sirang file, na kapag naisakatuparan ay hinihikayat ang kadena ng impeksyon - sa kalaunan ay naghahatid ng mga strain ng malware na ito.
Ang FPSpy ay Nilagyan ng Maraming Invasive na Kakayahang
Ang FPSpy ay pinaniniwalaan na isang variant ng backdoor na unang inilantad ng AhnLab noong 2022, na nagpapakita ng mga pagkakatulad sa isang banta na dokumentado ng Cybereason sa ilalim ng pangalang KGH_SPY sa huling bahagi ng 2020. Higit pa sa keylogging, ang FPSpy ay idinisenyo upang mangolekta ng mga detalye ng system, mag-download at mag-deploy ng mga karagdagang payload, isagawa ang mga di-makatwirang utos, at i-scan ang mga drive, folder at file sa nakompromisong system.
Samantala, ang KLogExe, isa pang bagong natukoy na banta, ay isang C++ adaptation ng PowerShell-based keylogger na tinatawag na InfoKey, na dating na-flag ng JPCERT/CC sa isang Kimsuky campaign na nagta-target sa mga Japanese entity. Ang tool na ito ay nilagyan upang makuha at i-exfiltrate ang data tungkol sa mga aktibong application, keystroke at paggalaw ng mouse sa apektadong makina.
Isang Highly-Targeted Attack Campaign
Natukoy ng mga dalubhasa sa cybersecurity ang mga pagkakatulad sa source code ng parehong KLogExe at FPSpy, na nagpapahiwatig na ang mga ito ay malamang na binuo ng parehong may-akda. Habang ang Kimsuky ay may kasaysayan ng pag-target sa iba't ibang rehiyon at sektor, ang partikular na kampanyang ito ay tila nakatuon sa mga organisasyon sa Japan at South Korea.
Dahil sa naka-target at pumipili na katangian ng mga operasyong ito, napagpasyahan ng mga mananaliksik na malamang na hindi laganap ang kampanya. Sa halip, lumilitaw na nakakulong ito sa mga partikular na industriya at limitado lalo na sa Japan at South Korea.
