Οι Βορειοκορεάτες hackers Kimsuky διεξάγουν επιθέσεις spear-phishing για να διανείμουν ένα νέο malware κλοπής πληροφοριών με το όνομα forceCopy.
Ερευνητές του AhnLab Security Intelligence Center (ASEC) παρατήρησαν ότι οι επιθέσεις ξεκινούν με phishing μηνύματα, που περιέχουν ένα Windows shortcut (LNK) file, μεταμφιεσμένο ως έγγραφο του Microsoft Office ή PDF.
Το άνοιγμα του συνημμένου ενεργοποιεί την εκτέλεση του PowerShell ή του mshta.exe, ενός νόμιμου Microsoft binary που έχει σχεδιαστεί για την εκτέλεση HTML Application (HTA) files. Αυτά είναι υπεύθυνα για τη λήψη και την εκτέλεση κακόβουλων payloads από μια εξωτερική πηγή.
Δείτε επίσης: Βορειοκορεάτες hackers πίσω από την παραβίαση της Phemex;
Η εταιρεία κυβερνοασφάλειας είπε ότι οι επιθέσεις των Βορειοκορεατών hackers Kimsuky κορυφώθηκαν με την ανάπτυξη ενός γνωστού trojan που ονομάζεται PEBBLEDASH και μιας custom έκδοσης ενός open-source Remote Desktop utility που ονομάζεται RDP Wrapper.
Επίσης, παραδίδεται ένα proxy malware που επιτρέπει στους επιτιθέμενους να δημιουργούν συνεχή επικοινωνία με ένα εξωτερικό δίκτυο μέσω RDP.
Επιπλέον, οι Βορειοκορεάτες hackers Kimsuky χρησιμοποιούν ένα keylogger που βασίζεται στο PowerShell για την καταγραφή πληκτρολογήσεων και ένα νέο κακόβουλο λογισμικό κλοπής με την κωδική ονομασία forceCopy. Το malware χρησιμοποιείται για την αντιγραφή αρχείων που είναι αποθηκευμένα σε καταλόγους που σχετίζονται με το πρόγραμμα περιήγησης Ιστού.
“Πιστεύεται ότι οι επιτιθέμενοι προσπαθούν να παρακάμψουν περιορισμούς σε ένα συγκεκριμένο περιβάλλον και να κλέψουν τα αρχεία διαμόρφωσης των προγραμμάτων περιήγησης όπου αποθηκεύονται τα διαπιστευτήρια“.
Δείτε επίσης: Εργαζόμενοι IT από τη Βόρεια Κορέα κλέβουν source code και εκβιάζουν εργοδότες
Πιστεύεται ότι οι Βορειοκορεάτες hackers Kimsuky που είναι, επίσης, γνωστοί ως APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 και Velvet Chollima, συνδέονται με το Reconnaissance General Bureau (RGB), την κύρια υπηρεσία πληροφοριών της Βόρειας Κορέας.
Είναι ενεργοί τουλάχιστον από το 2012 και είναι κυρίως γνωστοί για social engineering επιθέσεις, που παρακάμπτουν τις προστασίες ασφαλείας email.
Γενικά tips προστασίας από info-stealer malware τύπου forceCopy
Πρώτον, είναι σημαντικό να γίνεται ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών, καθώς οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τις συσκευές από τέτοιου είδους επιθέσεις.
Δεύτερον, προτείνεται η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης. Αυτό μπορεί να βοηθήσει στην προστασία των λογαριασμών από παραβίαση.
Δείτε επίσης: ΗΠΑ: Kυρώσεις για τους εργαζόμενους στον τομέα IT της Βόρειας Κορέας
Τρίτον, είναι απαραίτητη η εκπαίδευση των χρηστών σχετικά με τους κινδύνους των malware. Οι χρήστες πρέπει να γνωρίζουν τα σημάδια των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και να αποφεύγουν το κλικ σε ύποπτους συνδέσμους. Τα phishing emails χρησιμοποιούν και οι Βορειοκορεάτες hackers Kimsuky για την παράδοση του malware forceCopy.
Τέλος, υπογραμμίζεται η ανάγκη για χρήση λύσεων ασφαλείας που παρέχουν προστασία σε πραγματικό χρόνο και έχουν τη δυνατότητα να ανιχνεύσουν και να απομακρύνουν το malware.
Πηγή: thehackernews.com
