هکرهای کره شمالی در حملات اخیر خود علیه ژاپن و کره جنوبی از دو نوع بدافزار جدید به نامهای KLogEXE و FPSpy استفاده کردهاند. این حملات به گروه Kimsuky (کیمسوکی) نسبت داده شده است.
این گروه با نامهای APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Thallium سابق)، Sparkling Pisces، Springtail و Velvet Chollima نیز دنبال میشود.
Kimsuky حداقل از سال 2012 فعال میباشد و به دلیل تواناییاش در فریب قربانیان برای دانلود بدافزار از طریق ارسال ایمیل، به “سلطان فیشینگ هدفمند” معروف است.
نتایج تحلیلهای محققان واحد 42 شبکههای پالو آلتو حاکی از دو فایل اجرایی انتقال پذیر به نامهای KLogEXE و FPSpy میباشد. این گونههای بدافزاری عمدتاً از طریق حملات فیشینگ هدفمند توزیع میشوند.
این ایمیلها با دقت بالایی طراحی و ایجاد میشوند و به گونهای نوشته شدهاند که گیرنده ایمیل با اطمینان خاطر آن را باز و فایل ZIP پیوست شده را دانلود کند. پس از استخراج محتوای فایل ZIP پیوست شده، زنجیره نفوذ اجرا میگردد که در نهایت منجر به تحویل و استقرار بدافزار خواهد شد.
KLogExe یک نسخه C++ از کیلاگر مبتنی بر PowerShell به نام InfoKey است که توسط JPCERT/CC در ارتباط با حملات Kimsuky که سازمانهای ژاپنی را هدف قرار میدهد، شناخته شده است.
این بدافزار علاوه بر قابلیت کیلاگر خود مجهز به قابلیتهایی برای جمعآوری و استخراج اطلاعات در مورد برنامههای در حال اجرا بر روی سیستم قربانی است.
از سوی دیگر، گفته میشود که FPSpy نوعی بکدور است که AhnLab آن را در سال 2022 فاش کرده است. FPSpy علاوه بر قابلیت کیلاگر خود، به منظور جمعآوری اطلاعات سیستم، دانلود و اجرای پیلودهای بیشتر، اجرای دستورات دلخواه، و شمارش درایوها، فولدرها و فایلها در دستگاه قربانی طراحی شده است.
محققان واحد 42 شبکههای پالو آلتو اذعان داشتند که شباهتهایی را در کد منبع KLogExe و FPSpy یافتهاند که نشان میدهد احتمالاً هر دو، کار یک توسعه دهنده هستند.
با توجه به ماهیت این حملات که هدفمند و دستچین شده میباشند، ارزیابی میشود که احتمالاً دامنه آن گسترده نیست و محدود به چند کشور از جمله ژاپن و کره جنوبی است و تعداد انگشت شماری از صنایع منتخب را هدف قرار داده است.
