FPSpy 惡意軟體

與北韓有關的威脅組織已被利用兩種新開發的工具（KLogEXE 和 FPSpy）識別出來。此活動與一個名為 Kimsuky 的威脅行為者有關，該威脅行為者的別名還包括 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前稱為 Thallium）、Sparkling Pisces、Springtail 和 Velvet Chollima。這些新工具擴展了 Sparkling Pisces 已經相當豐富的工具包，反映了團隊的持續發展和日益成熟。

經營十多年的老練威脅行為者

該威脅行為者至少從 2012 年開始活躍，被稱為“魚叉式網路釣魚之王”，因為它能夠透過發送看似來自受信任方的電子郵件來誘騙受害者下載惡意軟體。研究人員對 Kimsuki 基礎設施的分析發現了兩個新的可移植可執行文件，稱為 KLogEXE 和 FPSpy。

已知這些惡意軟體菌株主要透過魚叉式網路釣魚攻擊傳播。根據現有信息，該活動的邪惡操作者似乎傾向於通過向其目標發送魚叉式網絡釣魚電子郵件的形式進行社會工程攻擊。

這些精心設計的電子郵件包含一種旨在引誘目標下載電子郵件附件的 ZIP 檔案的語言。通常鼓勵目標提取損壞的文件，這些文件在執行時會調用感染鏈，最終傳遞這些惡意軟體菌株。

FPSpy 具備眾多入侵功能

FPSpy 被認為是AhnLab 於2022 年首次曝光的後門的變體，與Cybereason 在2020 年底記錄的名為KGH_SPY 的威脅有相似之處。 、下載和部署額外的有效負載，執行任意命令，並掃描受感染系統上的磁碟機、資料夾和檔案。

同時，另一個新發現的威脅 KLogExe 是基於 PowerShell 的名為 InfoKey 的鍵盤記錄器的 C++ 改編版，此前 JPCERT/CC 在針對日本實體的 Kimsuky 活動中標記了該威脅。該工具可以捕獲和竊取有關受影響機器上的活動應用程式、按鍵和滑鼠移動的資料。

針對性強的攻擊活動

網路安全專家發現 KLogExe 和 FPSpy 的原始碼有相似之處，表明它們很可能是由同一作者開發的。雖然 Kimsuky 歷來針對各個地區和部門，但這次特殊的活動似乎主要針對日本和韓國的組織。

鑑於這些行動的針對性和選擇性，研究人員得出的結論是，該活動不太可能廣泛傳播。相反，它似乎僅限於特定行業，並且主要限於日本和韓國。