forceCopy Stealer
Es wurde festgestellt, dass die mit Nordkorea verbundene Hackergruppe Kimsuky Spear-Phishing-Angriffe verwendet, um eine neu identifizierte Malware namens ForceCopy zu verbreiten, die Informationen stiehlt. Diese Angriffe beginnen mit Phishing-E-Mails, die eine getarnte Windows-Verknüpfungsdatei (LNK) enthalten, die wie ein Microsoft Office- oder PDF-Dokument aussieht. Ahnungslose Empfänger, die die Datei öffnen, lösen unwissentlich eine Kettenreaktion aus, die bösartige Befehle ausführt.
Inhaltsverzeichnis
Ausnutzung legitimer Tools zur Bereitstellung bedrohlicher Payloads
Sobald der Benutzer mit dem schädlichen Anhang interagiert, wird der Infektionsprozess durch die Ausführung von PowerShell oder „mshta.exe“ gestartet, einem legitimen Windows-Dienstprogramm zum Ausführen von HTML-Anwendungsdateien (HTA). Mit dieser Technik können die Angreifer zusätzliche Malware-Nutzlasten von einer externen Quelle abrufen und bereitstellen, ohne Verdacht zu erregen.
Bereitstellen von Trojanern und Remotedesktoptools
Die Angriffe führen letztlich zur Bereitstellung bekannter Bedrohungen, darunter des PEBBLEDASH- Trojaners und einer modifizierten Version des RDP Wrapper, einem Open-Source-Tool für den Remote-Desktop-Zugriff. Darüber hinaus wird Proxy-Malware eingeführt, um eine kontinuierliche Verbindung zwischen dem kompromittierten Gerät und dem externen Netzwerk der Angreifer über das Remote Desktop Protocol (RDP) sicherzustellen.
Ein Keylogger und ForceCopy: Ziel sind gespeicherte Anmeldeinformationen
Kimsuky wurde auch dabei beobachtet, wie er einen Keylogger auf PowerShell-Basis verwendete, um Tastatureingaben aufzuzeichnen, was seine Fähigkeit, vertrauliche Informationen zu stehlen, noch weiter steigerte. Darüber hinaus ist die neu entdeckte ForceCopy-Malware speziell darauf ausgelegt, Dateien zu extrahieren, die in Webbrowser-Verzeichnissen gespeichert sind. Dies deutet auf einen Versuch hin, Sicherheitsbeschränkungen zu umgehen und direkt auf Browserkonfigurationsdateien zuzugreifen, in denen häufig Anmeldeinformationen gespeichert sind.
Eine strategische Änderung: Verwendung von RDP zur Host-Steuerung
Die Abhängigkeit der Gruppe von RDP Wrapper und Proxy-Malware verdeutlicht eine taktische Änderung ihrer Vorgehensweise. Zuvor nutzte Kimsuky hauptsächlich speziell entwickelte Backdoors, um infizierte Systeme zu kontrollieren. Jetzt versucht die Gruppe, durch die Nutzung weithin verfügbarer Tools ihre Persistenz aufrechtzuerhalten und gleichzeitig die Wahrscheinlichkeit einer Entdeckung zu verringern.
APT43: Eine seit langem bestehende Bedrohung durch Cyber-Spionage
Kimsuky, auch bekannt unter Pseudonymen wie APT43, Black Banshee und Emerald Sleet, soll für Nordkoreas Reconnaissance General Bureau (RGB) tätig sein, den führenden Auslandsgeheimdienst des Landes. Die Gruppe ist seit mindestens 2012 aktiv und hat eine lange Geschichte darin, ausgeklügelte Social-Engineering-Angriffe auszuführen, um E-Mail-Sicherheitsmaßnahmen zu umgehen.
Ausweitung der Aktivitäten mit Phishing-Kampagnen aus Russland
Jüngste Erkenntnisse deuten darauf hin, dass Kimsuky Phishing-E-Mails von russischen E-Mail-Diensten verwendet, um Kampagnen zum Diebstahl von Anmeldeinformationen durchzuführen. Diese Anpassung, die im Dezember 2024 beobachtet wurde, spiegelt die sich entwickelnden Taktiken der Gruppe wider, die ihre Social-Engineering-Techniken weiter verfeinert, um hochrangige Einzelpersonen und Organisationen ins Visier zu nehmen.
