FPSpy Kötü Amaçlı Yazılım
Kuzey Kore ile bağlantılı tehdit grupları, KLogEXE ve FPSpy olarak bilinen iki yeni geliştirilmiş araç kullanılarak belirlendi. Bu etkinlik, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (eski adıyla Thallium), Sparkling Pisces, Springtail ve Velvet Chollima gibi takma adlarla da tanınan Kimsuky adlı bir tehdit aktörüyle ilişkilendirildi. Bu yeni araçlar, Sparkling Pisces'in halihazırda önemli olan araç setini genişleterek grubun devam eden evrimini ve artan karmaşıklığını yansıtıyor.
İçindekiler
On Yıldan Fazla Süredir Faaliyet Gösteren Karmaşık Bir Tehdit Aktörü
En az 2012'den beri aktif olan tehdit aktörü, kurbanları güvenilir taraflardanmış gibi görünen e-postalar göndererek kötü amaçlı yazılım indirmeye kandırma becerisi nedeniyle 'mızraklı kimlik avının kralı' olarak adlandırıldı. Araştırmacıların Kimsuki'nin altyapısına ilişkin analizi, KLogEXE ve FPSpy olarak adlandırılan iki yeni taşınabilir yürütülebilir dosyayı ortaya çıkardı.
Bu kötü amaçlı yazılım türlerinin öncelikle spear-phishing saldırıları yoluyla iletildiği bilinmektedir. Mevcut bilgilere dayanarak, bu kampanyanın kötü niyetli operatörlerinin hedeflerine gönderilen spear-phishing e-postaları biçimindeki sosyal mühendislik saldırılarını tercih ettiği anlaşılıyor."
Bu dikkatlice hazırlanmış e-postalar, hedefleri e-postaya eklenmiş bir ZIP dosyasını indirmeye ikna etmek için tasarlanmış bir dile sahiptir. Hedefler genellikle bozuk dosyaları çıkarmaya teşvik edilir, bu dosyalar yürütüldüğünde enfeksiyon zincirini başlatır ve sonunda bu kötü amaçlı yazılım türlerini iletir.
FPSpy Çok Sayıda İstilacı Yetenekle Donatılmıştır
FPSpy'ın, AhnLab tarafından ilk kez 2022'de ifşa edilen bir arka kapının bir çeşidi olduğuna inanılıyor ve Cybereason tarafından 2020 sonlarında KGH_SPY adıyla belgelenen bir tehdit ile benzerlikler gösteriyor. Tuş kaydının ötesinde, FPSpy sistem ayrıntılarını toplamak, ek yükler indirmek ve dağıtmak, keyfi komutları yürütmek ve tehlikeye atılmış sistemdeki sürücüleri, klasörleri ve dosyaları taramak için tasarlanmıştır.
Bu arada, yeni tanımlanan bir diğer tehdit olan KLogExe, daha önce JPCERT/CC tarafından Japon varlıklarını hedef alan bir Kimsuky kampanyasında işaretlenen InfoKey adlı PowerShell tabanlı bir keylogger'ın C++ uyarlamasıdır. Bu araç, etkilenen makinedeki etkin uygulamalar, tuş vuruşları ve fare hareketleri hakkında veri yakalamak ve çıkarmak için donatılmıştır.
Çok Hedefli Bir Saldırı Kampanyası
Siber güvenlik uzmanları, hem KLogExe hem de FPSpy'ın kaynak kodlarında benzerlikler tespit etti ve bunların muhtemelen aynı yazar tarafından geliştirildiğini belirtti. Kimsuky'nin çeşitli bölgeleri ve sektörleri hedefleme geçmişi olsa da, bu özel kampanya Japonya ve Güney Kore'deki kuruluşlara odaklanmış gibi görünüyor.
Bu operasyonların hedefli ve seçici doğası göz önüne alındığında, araştırmacılar kampanyanın yaygın olma ihtimalinin düşük olduğu sonucuna vardılar. Bunun yerine, belirli endüstrilerle sınırlı ve öncelikli olarak Japonya ve Güney Kore ile sınırlı görünüyor.
