FPSpy 恶意软件

研究人员利用两种新开发的工具 KLogEXE 和 FPSpy 识别出与朝鲜有关的威胁团体。该活动与一个被称为 Kimsuky 的威胁行为者有关，该组织还使用过 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前称为 Thallium）、Sparkling Pisces、Springtail 和 Velvet Chollima 等别名。这些新工具扩展了 Sparkling Pisces 已经相当丰富的工具包，反映了该组织的持续发展和日益复杂的程度。

一个已经运作了十多年的老练威胁者

该威胁行为者自 2012 年以来一直活跃，被称为“鱼叉式网络钓鱼之王”，因为它能够通过发送电子邮件诱骗受害者下载恶意软件，这些电子邮件看起来来自可信方。研究人员对 Kimsuki 基础设施的分析发现了两个新的可移植可执行文件，称为 KLogEXE 和 FPSpy。

据悉，这些恶意软件主要通过鱼叉式网络钓鱼攻击进行传播。根据现有信息，此次活动的恶意运营者似乎倾向于以向目标发送鱼叉式网络钓鱼电子邮件的形式进行社会工程攻击。

这些精心制作的电子邮件使用一种语言来引诱目标下载电子邮件附带的 ZIP 文件。目标通常会被鼓励提取损坏的文件，这些文件在执行后会调用感染链，最终传播这些恶意软件。

FPSpy 具备多种入侵能力

FPSpy 被认为是 AhnLab 于 2022 年首次曝光的后门的变种，与 Cybereason 在 2020 年底以 KGH_SPY 为名记录的威胁有相似之处。除了键盘记录之外，FPSpy 还可以收集系统详细信息、下载和部署其他有效负载、执行任意命令以及扫描受感染系统上的驱动器、文件夹和文件。

与此同时，另一个新发现的威胁是 KLogExe，它是基于 PowerShell 的键盘记录器 InfoKey 的 C++ 改编版，JPCERT/CC 曾在针对日本实体的 Kimsuky 活动中标记过该工具。该工具可以捕获和窃取有关受影响机器上的活动应用程序、击键和鼠标移动的数据。

高度针对性的攻击活动

网络安全专家发现 KLogExe 和 FPSpy 的源代码有相似之处，表明它们可能是由同一作者开发的。虽然 Kimsuky 曾针对过不同地区和行业，但这次活动似乎主要针对日本和韩国的组织。

鉴于这些行动的针对性和选择性，研究人员得出结论，该行动不太可能大规模展开。相反，它似乎局限于特定行业，主要局限于日本和韩国。