FPSpy マルウェア

北朝鮮に関連する脅威グループが、KLogEXE と FPSpy という 2 つの新しく開発されたツールを使用していることが確認されました。この活動は、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet (旧 Thallium)、Sparkling Pisces、Springtail、Velvet Chollima などの別名でも知られる Kimsuky と呼ばれる脅威アクターと関連しています。これらの新しいツールは、Sparkling Pisces のすでに豊富なツールキットをさらに拡大するもので、グループの継続的な進化と高度化を反映しています。

10年以上活動する高度な脅威アクター

少なくとも 2012 年から活動しているこの脅威アクターは、信頼できる相手からのメールのように見せかけて被害者を騙し、マルウェアをダウンロードさせる能力から、「スピアフィッシングの王様」と呼ばれています。研究者が Kimsuki のインフラストラクチャを分析した結果、KLogEXE と FPSpy と呼ばれる 2 つの新しいポータブル実行ファイルが発見されました。

これらのマルウェアは、主にスピアフィッシング攻撃によって配信されることが知られています。入手可能な情報に基づくと、このキャンペーンの悪質な運営者は、標的にスピアフィッシングメールを送信する形でソーシャルエンジニアリング攻撃を好んでいるようです。」

こうした巧妙に作成された電子メールには、メールに添付された ZIP ファイルをダウンロードするようにターゲットを誘導する文言が使われています。ターゲットは破損したファイルを解凍するよう促されることが多く、そのファイルを実行すると感染チェーンが起動し、最終的にこうしたマルウェアが配信されます。

FPSpyは数多くの侵入機能を備えている

FPSpy は、2022 年に AhnLab によって初めて公開されたバックドアの亜種であると考えられており、2020 年後半に Cybereason によって KGH_SPY という名前で文書化された脅威との類似点を示しています。FPSpy は、キーロギング以外にも、システムの詳細を収集し、追加のペイロードをダウンロードして展開し、任意のコマンドを実行し、侵害されたシステム上のドライブ、フォルダー、ファイルをスキャンするように設計されています。

一方、新たに特定された別の脅威である KLogExe は、InfoKey と呼ばれる PowerShell ベースのキーロガーの C++ 版であり、以前 JPCERT/CC によって日本の組織を標的とした Kimsuky キャンペーンで警告されていました。このツールは、影響を受けたマシンでアクティブなアプリケーション、キーストローク、マウスの動きに関するデータをキャプチャして盗み出す機能を備えています。

高度に標的を絞った攻撃キャンペーン

サイバーセキュリティの専門家は、KLogExe と FPSpy のソースコードに類似点があることを特定しており、これらは同じ作者によって開発された可能性が高いことを示しています。Kimsuky はこれまでさまざまな地域や分野を標的にしてきましたが、今回の攻撃は日本と韓国の組織に焦点が当てられているようです。

研究者らは、これらの活動が標的を絞って選択的に行われていることを考慮すると、この攻撃が広範囲に及ぶ可能性は低いと結論付けている。むしろ、この攻撃は特定の業界に限定されており、主に日本と韓国に限定されているようだ。

トレンド

最も見られました

読み込んでいます...