Ahnlab Güvenlik İstihbarat Merkezi’nden (ASEC) yeni bulgulara göre, Kimuky olarak bilinen Kuzey Kore’ye bağlı ulus-devlet hackleme grubunun ForCopopy adlı bir bilgi stealer kötü amaçlı yazılım sunmak için mızrak aktı saldırıları yapıldığı gözlendi.
Saldırılar, Microsoft Office veya PDF belgesi olarak gizlenmiş bir Windows kısayolu (LNK) dosyası içeren kimlik avı e -postalarıyla başlar.
Bu ekin açılması, harici bir kaynaktan sonraki aşamalı yükleri indirmek ve çalıştırmaktan sorumlu olan HTML Uygulama (HTA) dosyalarını çalıştırmak için tasarlanmış meşru bir Microsoft ikili olan PowerShell veya MSHTA.EXE’nin yürütülmesini tetikler.
Güney Koreli siber güvenlik şirketi, saldırıların Pebbledash olarak adlandırılan bilinen bir Truva’nın konuşlandırılmasıyla sonuçlandığını ve RDP Wrapper adlı açık kaynaklı bir uzak masaüstü yardımcı programının özel bir versiyonunu doruğa ulaştığını söyledi.
Saldırıların bir parçası olarak, tehdit aktörlerinin RDP aracılığıyla harici bir ağ ile kalıcı iletişim kurmalarını sağlayan bir proxy kötü amaçlı yazılım da sunulur.
Ayrıca, Kissuky, tuş vuruşlarını kaydetmek için PowerShell tabanlı bir keylogger ve web tarayıcısıyla ilgili dizinlerde saklanan dosyaları kopyalamak için kullanılan yeni bir sığınak kötü amaçlı yazılım kullanılarak gözlenmiştir.
ASEC, “Kötü amaçlı yazılımın yüklendiği tüm yollar web tarayıcısı kurulum yollarıdır.” Dedi. “Tehdit oyuncusunun belirli bir ortamda kısıtlamaları atlamaya ve kimlik bilgilerinin depolandığı web tarayıcılarının yapılandırma dosyalarını çalmaya çalıştığı varsayılıyor.”
Enfekte ana bilgisayarları komuta etmek için RDP sargısı ve vekillerinin kullanımı, tarihsel olarak bu amaç için ısmarlama arka kapıları kullanan Kimuky için taktiksel kaymaya işaret ediyor.
APT43, Black Banshee, Emerald Squet, Köpüklü Balık, Springtail, TA427 ve Velvet Chollima olarak da adlandırılan tehdit oyuncusu, Kuzey Kore’nin birincil dış istihbarat hizmeti Keşif Genel Bürosu (RGB) ile ilişkili olduğu değerlendiriliyor.
En az 2012’den beri aktif olan Kimusky, e -posta güvenlik korumalarını atlayabilen özel sosyal mühendislik saldırılarını düzenleme konusunda bir geçmişe sahiptir. Aralık 2024’te, siber güvenlik şirketi kuvvetleri, hack mürettebatının kimlik hırsızlığı yapmak için Rus hizmetlerinden kaynaklanan kimlik avı mesajları gönderdiğini açıkladı.