ForceCopy Stealer
Було виявлено, що пов’язана з Північною Кореєю хакерська група Kimsuky використовує фішингові атаки для розповсюдження нещодавно виявленого зловмисного програмного забезпечення під назвою forceCopy для крадіжки інформації. Ці атаки починаються з фішингових електронних листів, які містять замаскований файл ярлика Windows (LNK), який виглядає як документ Microsoft Office або PDF. Нічого не підозрюючи одержувачі, які несвідомо відкривають файл, запускають ланцюгову реакцію, яка виконує шкідливі команди.
Зміст
Використання легітимних інструментів для доставки загрозливих корисних навантажень
Коли користувач взаємодіє зі шкідливим вкладенням, процес зараження починається із запуску PowerShell або «mshta.exe», законної утиліти Windows, яка використовується для запуску файлів додатків HTML (HTA). Ця техніка дозволяє зловмисникам отримувати та розгортати додаткові шкідливі програми із зовнішнього джерела, не викликаючи підозр.
Розгортання троянів і засобів віддаленого робочого столу
Атаки зрештою призводять до розгортання відомих загроз, включаючи троян PEBBLEDASH і модифіковану версію RDP Wrapper, інструменту з відкритим кодом, який використовується для віддаленого доступу до робочого столу. Поряд із цим з’являється зловмисне програмне забезпечення проксі-сервера, яке забезпечує безперервне з’єднання між скомпрометованим пристроєм і зовнішньою мережею зловмисників через протокол віддаленого робочого стола (RDP).
Keylogger і forceCopy: націлювання на збережені облікові дані
Також було помічено, що Kimsuky використовує кейлоггер на основі PowerShell для захоплення натискань клавіш, що ще більше покращує їх здатність викрадати конфіденційну інформацію. Крім того, нещодавно виявлена шкідлива програма forceCopy спеціально розроблена для вилучення файлів, що зберігаються в каталогах веб-браузера. Це свідчить про спробу обійти обмеження безпеки та отримати прямий доступ до конфігураційних файлів браузера, де часто зберігаються облікові дані для входу.
Стратегічний зсув: використання RDP для керування хостом
Залежність групи від RDP Wrapper і проксі-зловмисного програмного забезпечення підкреслює тактичні зміни в їх діяльності. Раніше Kimsuky в основному використовував спеціально створені бекдори для контролю заражених систем. Тепер, використовуючи широкодоступні інструменти, вони прагнуть підтримувати наполегливість, зменшуючи ймовірність виявлення.
APT43: давня загроза кібершпигунства
Вважається, що Кімсукі, також відомий під такими псевдонімами, як APT43, Black Banshee і Emerald Sleet, працює під керівництвом Головного розвідувального бюро Північної Кореї (RGB), провідної служби зовнішньої розвідки країни. Активна принаймні з 2012 року, група має довгу історію виконання складних атак соціальної інженерії для обходу захисту електронної пошти.
Розширення операцій з російськими фішинговими кампаніями
Останні дані показують, що Кімсукі використовував фішингові електронні листи, надіслані з російських поштових служб, для проведення кампаній з крадіжки облікових даних. Ця адаптація, яка спостерігалася в грудні 2024 року, відображає тактику групи, що розвивається, оскільки вона продовжує вдосконалювати свої методи соціальної інженерії, щоб націлюватися на високоцінних людей і організації.
