Ativistas de ameaças com vínculos com a Coreia do Norte foram observados usando duas novas cepas de malware, denominadas KLogEXE e FPSpy.
A atividade foi atribuída a um adversário rastreado como Kimsuky, que também é conhecido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail e Velvet Chollima.
"Essas amostras ampliam o arsenal já extenso de Sparkling Pisces e demonstram a evolução contínua do grupo e o aumento de suas capacidades", disseram os pesquisadores da Palo Alto Networks Unit 42, Daniel Frank e Lior Rochberger.
Ativo desde pelo menos 2012, o ator de ameaças tem sido chamado de "rei do spear phishing" por sua habilidade em enganar vítimas para fazerem o download de malware ao enviar e-mails que parecem ser de partes confiáveis.
A análise da Unit 42 sobre a infraestrutura de Sparkling Pisces revelou dois novos executáveis portáteis referidos como KLogEXE e FPSpy.
"Essas cepas de malware são conhecidas por serem entregues principalmente via ataques de spear-phishing", Assaf Dahan, Diretor de Pesquisa de Ameaças na Unit 42, Palo Alto Networks, disse um comunicado por e-mail.
Com base nas informações disponíveis para nós, parece que os operadores de Sparkling Pisces nesta campanha favorecem ataques de engenharia social na forma de e-mails de spear-phishing enviados aos seus alvos.
Esses e-mails cuidadosamente elaborados têm uma linguagem projetada para atrair os alvos a baixarem um arquivo ZIP anexado ao e-mail.
Muitas vezes é incentivado que os alvos extraiam arquivos maliciosos, que, ao serem executados, invocam a cadeia de infecção – eventualmente entregando essas cepas de malware. KLogExe é uma versão em C++ do keylogger baseado em PowerShell chamado InfoKey, que foi destacado pela JPCERT/CC em conexão com uma campanha de Kimsuky mirando organizações japonesas.
O malware vem equipado com capacidades para coletar e exfiltrar informações sobre os aplicativos atualmente em execução na estação de trabalho comprometida, teclas digitadas e cliques do mouse.
Por outro lado, FPSpy é dito ser uma variante do backdoor que AhnLab divulgou em 2022, com sobreposições identificadas a um malware que Cyberseason documentou sob o nome KGH_SPY no final de 2020.
FPSpy, além de keylogging, também é projetado para coletar informações do sistema, baixar e executar mais payloads, executar comandos arbitrários e enumerar drives, pastas e arquivos no dispositivo infectado.
A Unit 42 disse que também foi capaz de identificar pontos de semelhanças no código-fonte de ambos KLogExe e FPSpy, sugerindo que eles provavelmente são trabalho do mesmo autor.
"Enquanto Sparkling Pisces (aka Kimsuky) atacou anteriormente várias regiões e indústrias, seus alvos primários nesta campanha parecem ser organizações japonesas e sul-coreanas", disse Dahan.
Devido à natureza dessas campanhas, que são consideradas direcionadas e escolhidas a dedo, avaliamos que não é provável que sejam amplamente disseminadas, mas sim contidas a alguns países selecionados (principalmente Japão e Coreia do Sul) e a um punhado de indústrias. (A história foi atualizada após a publicação para incluir respostas da Palo Alto Networks Unit 42.)
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...