Οι Βορειοκορεάτες hackers Kimsuky φαίνεται πως χρησιμοποιούν δύο νέα είδη malware που ονομάζονται KLogEXE και FPSpy.
Οι hackers Kimsuky είναι, επίσης, γνωστοί ως APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (πρώην Thallium), Sparkling Pisces, Springtail και Velvet Chollima.
Σύμφωνα με ερευνητές της Palo Alto Networks, τα δύο νέα malware ενισχύουν το ήδη εκτεταμένο οπλοστάσιο της συγκεκριμένης ομάδας, δείχνοντας τη συνεχή εξέλιξή της.
Οι Βορειοκορεάτες hackers Kimsuky δραστηριοποιούνται τουλάχιστον από το 2012, και ειδικεύονται στο spear phishing. Είναι πολύ αποτελεσματικοί στο να ξεγελούν τα θύματα ώστε να κατεβάζουν κακόβουλο λογισμικό, μέσω emails που υποτίθεται προέρχονται από αξιόπιστες εταιρείες.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Δείτε επίσης: Οι Βορειοκορεάτες hackers UNC2970 μολύνουν εταιρείες ενέργειας με το MISTPEN malware
Οι ερευνητές της Palo Alto Networks ανέλυσαν την υποδομή των hackers Kimsuky και εντόπισαν δύο νέα portable executables, που αναφέρονται ως KLogEXE και FPSpy.
“Αυτά τα στελέχη malware παραδίδονται κυρίως μέσω επιθέσεων spear-phishing“, δήλωσε ο Assaf Dahan, Διευθυντής Έρευνας Απειλών στη Unit 42 της Palo Alto Networks.
“Με βάση τις πληροφορίες που έχουμε στη διάθεσή μας, φαίνεται ότι οι χειριστές αυτής της καμπάνιας χρησιμοποιούν social engineering τακτικές, με τη μορφή spear-phishing emails που αποστέλλονται στους στόχους τους“.
Οι επιτιθέμενοι στέλνουν προσεγμένα emails που παρασύρουν τους στόχους να κατεβάσουν ένα αρχείο ZIP. Οι στόχοι συχνά ενθαρρύνονται να εξάγουν κακόβουλα αρχεία, τα οποία κατά την εκτέλεση ενεργοποιούν την αλυσίδα μόλυνσης και παραδίδουν τα malware KLogEXE και FPSpy.
Το KLogExe είναι μια έκδοση C++ του keylogger InfoKey, που είχε συνδεθεί με μια καμπάνια της Kimsuky που στόχευε ιαπωνικούς οργανισμούς.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware
Το κακόβουλο λογισμικό κλέβει πληροφορίες σχετικά με εφαρμογές που εκτελούνται στο παραβιασμένο workstation και καταγράφει πληκτρολογήσεις και κλικ του ποντικιού.
Από την άλλη πλευρά, το FPSpy malware λέγεται ότι είναι μια παραλλαγή ενός backdoor που αποκάλυψε η AhnLab το 2022. Μπορεί να καταγράφει τις πληκτρολογήσεις των θυμάτων, αλλά έχει, επίσης, σχεδιαστεί για να συλλέγει πληροφορίες συστήματος, να κατεβάζει και να εκτελεί payloads, να εκτελεί εντολές και να ελέγχει μονάδες δίσκου, φακέλους και αρχεία στη μολυσμένη συσκευή.
Οι ερευνητές είπαν ότι εντόπισαν ομοιότητες στον source code των KLogExe και FPSpy. Αυτό σημαίνει ότι μπορεί να έχουν δημιουργηθεί από την ίδια ομάδα.
Σε αυτή την πρόσφατη καμπάνια, που διανέμει τα malware KLogExe και FPSpy, οι Βορειοκορεάτες hackers Kimsuky στοχεύουν κυρίως οργανισμούς της Ιαπωνίας και της Νότιας Κορέας.
Βορειοκορεάτες hackers: Μια μεγάλη απειλή
Οι Βορειοκορεάτες hackers αποτελούν απειλή για την παγκόσμια ασφάλεια μέσω μιας σειράς επιθέσεων στον κυβερνοχώρο που στοχεύουν σε κρίσιμα συστήματα και δίκτυα. Αυτές οι επιθέσεις μπορούν να προκαλέσουν σημαντικές διαταραχές και να υπονομεύσουν την εμπιστοσύνη στα ψηφιακά συστήματα.
Δείτε επίσης: Βορειοκορεάτες hackers χρησιμοποιούν ψεύτικο FreeConference app και εξαπατούν χρήστες
Επιπλέον, οι Βορειοκορεάτες hackers έχουν δείξει την ικανότητά τους να διεισδύουν σε οικονομικά συστήματα, όπως τράπεζες και κρυπτονομίσματα, προκαλώντας οικονομική αστάθεια.
Τέλος, μπορούν να χρησιμοποιήσουν τις δεξιότητές τους για να κλέψουν ευαίσθητες πληροφορίες, όπως στρατιωτικά μυστικά ή πνευματικά δικαιώματα, προκαλώντας έτσι ζητήματα ασφάλειας και πολιτικές εντάσεις.
Πηγή: thehackernews.com