Шкідливе програмне забезпечення FPSpy
Групи загроз, пов’язані з Північною Кореєю, були виявлені за допомогою двох нещодавно розроблених інструментів, відомих як KLogEXE та FPSpy. Ця діяльність була пов’язана з загрозливим актором на ім’я Кімсукі, який також відомий під такими псевдонімами, як APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (раніше Thallium), Sparkling Pisces, Springtail і Velvet Chollima. Ці нові інструменти розширюють і без того значний набір інструментів Sparkling Pisces, відображаючи постійну еволюцію та зростаючу витонченість групи.
Зміст
Витончений виконавець загроз, який працює більше десяти років
Активний щонайменше з 2012 року загрозу називають «королем фішингу» за її здатність обманом змушувати жертв завантажувати зловмисне програмне забезпечення, надсилаючи електронні листи, які виглядають так, ніби вони надійшли від довірених сторін. Аналіз дослідників інфраструктури Kimsuki виявив два нових портативних виконуваних файли, які називаються KLogEXE та FPSpy.
Відомо, що ці різновиди зловмисного програмного забезпечення доставляються в основному через фішингові атаки. Виходячи з наявної інформації, здається, що злісні оператори цієї кампанії віддають перевагу атакам соціальної інженерії у формі фішингових електронних листів, які надсилаються їхнім цілям».
Ці ретельно створені електронні листи мають мову, розроблену для спонукання цілей завантажити ZIP-файл, прикріплений до електронного листа. Цілі часто заохочуються видобувати пошкоджені файли, які після виконання викликають ланцюжок зараження – зрештою доставляючи ці штами зловмисного програмного забезпечення.
FPSpy має численні інвазивні можливості
Вважається, що FPSpy є варіантом бекдора, який вперше виявив AhnLab у 2022 році, демонструючи схожість із загрозою, задокументованою Cybereason під назвою KGH_SPY наприкінці 2020 року. Окрім клавіатурного журналу, FPSpy призначений для збору деталей системи, завантаження та розгортання додаткових корисних даних, виконувати довільні команди та сканувати диски, папки та файли в скомпрометованій системі.
Тим часом KLogExe, ще одна нещодавно виявлена загроза, є C++-адаптацією кейлоггера на основі PowerShell під назвою InfoKey, який раніше був позначений JPCERT/CC у кампанії Kimsuky, спрямованій на японські організації. Цей інструмент призначений для захоплення та вилучення даних про активні програми, натискання клавіш і рухи миші на ураженій машині.
Цілеспрямована атака
Експерти з кібербезпеки виявили схожість у вихідному коді KLogExe і FPSpy, що вказує на те, що вони, ймовірно, розроблені одним автором. Хоча Kimsuky має історію націлювання на різні регіони та сектори, ця конкретна кампанія, здається, зосереджена на організаціях у Японії та Південній Кореї.
Враховуючи цілеспрямований і вибірковий характер цих операцій, дослідники дійшли висновку, що кампанія навряд чи буде широко поширеною. Натомість, здається, він обмежений окремими галузями промисловості та обмежений переважно Японією та Південною Кореєю.
