I hacker nordcoreani, noti per le loro attività di cyberattacco, hanno recentemente utilizzato due nuovi malware chiamati KLogEXE e FPSpy in attacchi mirati. Queste minacce informatiche sono state attribuite all’agente di minaccia connesso a Pyongyang, noto come Kimsuky, che è anche conosciuto come APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ex Thallium), Sparkling Pisces, Springtail e Velvet Chollima.
Descrizione dei Malware
KLogEXE
Il malware KLogEXE è una versione C++ del keylogger basato su PowerShell chiamato InfoKey, che è stato evidenziato da JPCERT/CC in connessione con una campagna di Kimsuky che mirava a organizzazioni giapponesi. Questo malware è equipaggiato con capacità per raccogliere e esfiltrare informazioni sulle applicazioni attualmente in esecuzione sulla workstation compromessa, sui tasti premuti e sui clic del mouse.
FPSpy
FPSpy è una variante del backdoor che AhnLab ha rivelato nel 2022, con sovrapposizioni identificate con il malware che Cyberseason ha documentato sotto il nome KGH_SPY in tarda estate del 2020. In aggiunta al keylogging, FPSpy è progettato per raccogliere informazioni sul sistema, scaricare e eseguire payload aggiuntivi, eseguire comandi arbitrari e enumerare dischi, cartelle e file sull’infetta dispositivo.
Analisi e Similitudini
Unit 42 ha potuto identificare punti di similitudine nel codice sorgente di entrambi KLogEXE e FPSpy, suggerendo che siano probabilmente opera dello stesso autore. I ricercatori hanno anche notato che la maggior parte dei target osservati durante la loro ricerca originavano da Corea del Sud e Giappone, congruente con le precedenti strategie di targeting di Kimsuky.
Strategie di Attacco
Kimsuky è nota per la sua abilità di ingannare le vittime facendole scaricare malware inviando email che sembrano provenire da fonti fidate. Questa tattica di spear phishing è stata utilizzata per attaccare numerose organizzazioni in Corea del Sud e Giappone, rendendo Kimsuky nota come il “re della spear phishing”.
I nuovi malware KLogEXE e FPSpy rappresentano una minaccia significativa per le organizzazioni in Corea del Sud e Giappone. La continua evoluzione delle capacità di Kimsuky richiede una vigilanza costante e l’adozione di misure di sicurezza robuste. Seguendo i consigli di sicurezza sopra elencati, è possibile ridurre il rischio di essere vittima di questi attacchi informatici avanzati.
Fonte: https://thehackernews.com/2024/09/n-korean-hackers-deploy-new-klogexe-and.html
