FPSpy-Malware
Mit Nordkorea in Verbindung stehende Bedrohungsgruppen wurden mithilfe zweier neu entwickelter Tools namens KLogEXE und FPSpy identifiziert. Diese Aktivitäten wurden mit einem Bedrohungsakteur namens Kimsuky in Verbindung gebracht, der auch unter Decknamen wie APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (früher Thallium), Sparkling Pisces, Springtail und Velvet Chollima bekannt ist. Diese neuen Tools erweitern das bereits umfangreiche Toolkit von Sparkling Pisces und spiegeln die fortlaufende Entwicklung und zunehmende Raffinesse der Gruppe wider.
Inhaltsverzeichnis
Ein hochentwickelter Bedrohungsakteur, der seit über einem Jahrzehnt aktiv ist
Der seit mindestens 2012 aktive Bedrohungsakteur wird als „König des Spear-Phishing“ bezeichnet, da er Opfer dazu verleitet, Malware herunterzuladen, indem er E-Mails sendet, die den Anschein erwecken, als stammten sie von vertrauenswürdigen Parteien. Die Analyse der Infrastruktur von Kimsuki durch Forscher hat zwei neue portable ausführbare Dateien mit den Namen KLogEXE und FPSpy aufgedeckt.
Diese Malware-Varianten werden bekanntermaßen hauptsächlich über Spear-Phishing-Angriffe verbreitet. Basierend auf den verfügbaren Informationen scheint es, dass die bösen Betreiber dieser Kampagne Social-Engineering-Angriffe in Form von Spear-Phishing-E-Mails bevorzugen, die an ihre Ziele gesendet werden.“
Diese sorgfältig gestalteten E-Mails sind sprachlich so gestaltet, dass sie die Opfer dazu verleiten, eine an die E-Mail angehängte ZIP-Datei herunterzuladen. Die Opfer werden oft dazu aufgefordert, beschädigte Dateien zu extrahieren, die bei Ausführung die Infektionskette auslösen und schließlich diese Malware-Varianten verbreiten.
FPSpy ist mit zahlreichen invasiven Funktionen ausgestattet
FPSpy ist vermutlich eine Variante einer Backdoor, die erstmals 2022 von AhnLab aufgedeckt wurde und Ähnlichkeiten mit einer Bedrohung aufweist, die Cybereason Ende 2020 unter dem Namen KGH_SPY dokumentierte. Über Keylogging hinaus ist FPSpy darauf ausgelegt, Systemdetails zu sammeln, zusätzliche Payloads herunterzuladen und bereitzustellen, beliebige Befehle auszuführen und Laufwerke, Ordner und Dateien auf dem kompromittierten System zu scannen.
Unterdessen ist KLogExe, eine weitere neu identifizierte Bedrohung, eine C++-Adaption eines PowerShell-basierten Keyloggers namens InfoKey, der zuvor von JPCERT/CC in einer Kimsuky-Kampagne gegen japanische Unternehmen entdeckt wurde. Dieses Tool ist in der Lage, Daten über aktive Anwendungen, Tastenanschläge und Mausbewegungen auf dem betroffenen Computer zu erfassen und zu extrahieren.
Eine gezielte Angriffskampagne
Cybersicherheitsexperten haben Ähnlichkeiten im Quellcode von KLogExe und FPSpy festgestellt, was darauf hindeutet, dass sie wahrscheinlich vom selben Autor entwickelt wurden. Während Kimsuky in der Vergangenheit verschiedene Regionen und Sektoren ins Visier genommen hat, scheint sich diese spezielle Kampagne auf Organisationen in Japan und Südkorea zu konzentrieren.
Angesichts der gezielten und selektiven Natur dieser Operationen sind die Forscher zu dem Schluss gekommen, dass die Kampagne wahrscheinlich nicht großflächig ausufert. Vielmehr scheint sie auf bestimmte Branchen und vor allem auf Japan und Südkorea beschränkt zu sein.
