Kuzey Kore bağlantılı tehdit unsurlarının, KLogEXE ve FPSpy adı verilen iki yeni kötü amaçlı yazılım türünü kullandığı gözlemlendi.
Bu faaliyetin, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (eski adıyla Thallium), Sparkling Pisces, Springtail ve Velvet Chollima olarak da bilinen Kimsuky adlı bir düşmana atfedildiği belirtildi.
Palo Alto Networks Unit 42 araştırmacıları Daniel Frank ve Lior Rochberger, “Bu örnekler Sparkling Pisces’in zaten kapsamlı olan cephaneliğini daha da zenginleştiriyor ve grubun sürekli evrimini ve artan yeteneklerini gösteriyor” dedi.
En az 2012’den beri faaliyet gösteren bu tehdit aktörü, kurbanlarını güvenilir kişilerden geliyormuş gibi görünen e-postalar göndererek kötü amaçlı yazılımları indirmeye kandırma becerisi nedeniyle “mızraklı kimlik avının kralı” olarak adlandırılıyor.
Unit 42’nin Sparkling Pisces’ın altyapısına yönelik analizi, KLogEXE ve FPSpy olarak adlandırılan iki yeni taşınabilir yürütülebilir dosyayı ortaya çıkardı.
KLogExe, JPCERT/CC tarafından Japon kuruluşlarını hedef alan bir Kimsuky kampanyasıyla bağlantılı olarak öne çıkarılan InfoKey adlı PowerShell tabanlı keylogger’ın C++ sürümüdür.
Kötü amaçlı yazılım, saldırıya uğramış iş istasyonunda çalışan uygulamalar, basılan tuşlar ve fare tıklamaları hakkında bilgi toplama ve sızdırma yetenekleriyle donatılmış olarak geliyor.
Öte yandan FPSpy’ın, AhnLab’ın 2022’de ifşa ettiği arka kapının bir çeşidi olduğu, Cyberseason’ın 2020 sonlarında KGH_SPY ismiyle belgelediği bir kötü amaçlı yazılımla örtüştüğü belirtiliyor.
FPSpy, tuş kaydı tutmanın yanı sıra sistem bilgilerini toplamak, daha fazla veri yükü indirmek ve yürütmek, keyfi komutlar çalıştırmak ve enfekte cihazdaki sürücüleri, klasörleri ve dosyaları numaralandırmak için de tasarlanmıştır.
42. Birim, KLogExe ve FPSpy’ın kaynak kodlarında benzerlik noktaları tespit edebildiğini ve bunların büyük ihtimalle aynı yazarın eseri olabileceğini belirtti.
Araştırmacılar, “Araştırmamız sırasında gözlemlediğimiz hedeflerin çoğu Güney Kore ve Japonya’dan geldi. Bu, daha önce Kimsuky’ye yönelik gerçekleştirilen hedeflemelerle örtüşüyor.” dedi.