Phần mềm độc hại FPSpy

Các nhóm đe dọa có liên quan đến Bắc Triều Tiên đã được xác định bằng cách sử dụng hai công cụ mới được phát triển có tên là KLogEXE và FPSpy. Hoạt động này đã được kết nối với một tác nhân đe dọa được gọi là Kimsuky, cũng được biết đến dưới các bí danh như APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), Sparkling Pisces, Springtail và Velvet Chollima. Những công cụ mới này mở rộng bộ công cụ vốn đã đáng kể của Sparkling Pisces, phản ánh sự tiến hóa liên tục và sự tinh vi ngày càng tăng của nhóm.

Một tác nhân đe dọa tinh vi hoạt động trong hơn một thập kỷ

Hoạt động ít nhất từ năm 2012, tác nhân đe dọa này được gọi là 'vua lừa đảo qua email' vì khả năng lừa nạn nhân tải xuống phần mềm độc hại bằng cách gửi email khiến họ có cảm giác như chúng đến từ các bên đáng tin cậy. Phân tích của các nhà nghiên cứu về cơ sở hạ tầng của Kimsuki đã phát hiện ra hai tệp thực thi di động mới được gọi là KLogEXE và FPSpy.

Các chủng phần mềm độc hại này được biết là chủ yếu được phân phối thông qua các cuộc tấn công lừa đảo trực tuyến. Dựa trên thông tin có sẵn, có vẻ như những kẻ điều hành xấu xa của chiến dịch này ưa chuộng các cuộc tấn công kỹ thuật xã hội dưới dạng email lừa đảo trực tuyến được gửi đến mục tiêu của chúng."

Những email được thiết kế cẩn thận này có ngôn ngữ được thiết kế để dụ mục tiêu tải xuống tệp ZIP đính kèm trong email. Mục tiêu thường được khuyến khích trích xuất các tệp bị hỏng, khi thực hiện sẽ kích hoạt chuỗi lây nhiễm - cuối cùng sẽ phát tán các chủng phần mềm độc hại này.

FPSpy được trang bị nhiều khả năng xâm lấn

FPSpy được cho là một biến thể của backdoor lần đầu tiên được AhnLab phát hiện vào năm 2022, có nhiều điểm tương đồng với mối đe dọa được Cybereason ghi nhận dưới tên KGH_SPY vào cuối năm 2020. Ngoài việc ghi lại phím bấm, FPSpy được thiết kế để thu thập thông tin chi tiết về hệ thống, tải xuống và triển khai các tải trọng bổ sung, thực thi các lệnh tùy ý và quét ổ đĩa, thư mục và tệp trên hệ thống bị xâm phạm.

Trong khi đó, KLogExe, một mối đe dọa mới được xác định, là một bản chuyển thể C++ của keylogger dựa trên PowerShell có tên InfoKey, trước đây được JPCERT/CC đánh dấu trong chiến dịch Kimsuky nhắm vào các thực thể Nhật Bản. Công cụ này được trang bị để thu thập và trích xuất dữ liệu về các ứng dụng đang hoạt động, các lần nhấn phím và chuyển động của chuột trên máy bị ảnh hưởng.

Một chiến dịch tấn công có mục tiêu cao

Các chuyên gia an ninh mạng đã xác định được điểm tương đồng trong mã nguồn của cả KLogExe và FPSpy, cho thấy chúng có khả năng được phát triển bởi cùng một tác giả. Trong khi Kimsuky có tiền sử nhắm mục tiêu vào nhiều khu vực và lĩnh vực khác nhau, chiến dịch cụ thể này có vẻ tập trung vào các tổ chức ở Nhật Bản và Hàn Quốc.

Do bản chất có mục tiêu và chọn lọc của các hoạt động này, các nhà nghiên cứu đã kết luận rằng chiến dịch này khó có thể lan rộng. Thay vào đó, nó dường như chỉ giới hạn ở các ngành công nghiệp cụ thể và chủ yếu giới hạn ở Nhật Bản và Hàn Quốc.