Исследователи раскрыли новые приёмы северокорейских кибершпионов.
Исследователи из компании Palo Alto Networks зафиксировали свежую активность северокорейской группы хакеров Kimsuky, которая использовала в своих атаках два новых образца вредоносного ПО — KLogEXE и FPSpy. Специалисты заявляют, что данные программы расширяют арсенал группировки, демонстрируя эволюцию и растущие возможности.
Группировка Kimsuky, известная также как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail и Velvet Chollima, действует с 2012 года и специализируется на целевом фишинге — отправке вредоносных писем под видом сообщений от доверенных источников.
По заявлению Ассафа Дахана, директора отдела исследований угроз Palo Alto Networks, новые вредоносные программы распространяются преимущественно через фишинговые атаки. Хакеры используют тщательно составленные письма с содержанием, побуждающим жертву открыть ZIP-файл, в котором и скрыты вредоносные файлы. После их запуска активируется цепочка заражения, в конечном итоге приводящая к загрузке KLogEXE и FPSpy.
KLogEXE представляет собой версию кейлоггера InfoKey, написанную на C++, который ранее был обнаружен в рамках кампании Kimsuky против японских организаций. FPSpy является вариантом бэкдора, впервые обнаруженного в 2022 году компанией ASEC, с особенностями, схожими с вредоносным ПО KGH_SPY, описанным Cyberseason в 2020 году.
Оба вредоносных ПО оснащены функциями для сбора данных о запущенных приложениях на заражённом устройстве, перехвата нажатий клавиш и кликов мыши, а также сбора системной информации. FPSpy также способен скачивать и выполнять дополнительные загрузки, запускать произвольные команды и проводить анализ дисков, папок и файлов на инфицированном устройстве.
Исследователи Unit 42 установили, что в исходном коде KLogEXE и FPSpy имеются сходства, указывающие на их общую разработку. Основными целями текущей кампании Kimsuky выступают организации из Японии и Южной Кореи, и, по словам Дахана, эта активность носит целевой характер, затрагивая только определённые страны и отрасли.
Постоянное совершенствование хакерских групп подчёркивает необходимость непрерывного обучения и адаптации защитных мер. Как в природе, где хищники и жертвы эволюционируют вместе, так и в цифровом пространстве идёт непрерывная гонка между атакующими и обороняющимися. Только осознавая эту динамику и инвестируя в развитие навыков и технологий защиты, организации смогут обеспечить свою безопасность.
Одно найти легче, чем другое. Спойлер: это не темная материя