MENU

KLogEXEとFPSpy

ほぼこもセキュリティニュース

KLogEXEとFPSpyは、どちらも新しいマルウェアの名前です。
どんなものなのでしょうか。

  • KLogEXE
    これはWindows環境で動作するマルウェアです。
    ファイル名がpowershell.exeとなっている、ファイル形式がPEのキーロガー型マルウェアです。
    侵害されたホスト上で現在実行されているアプリケーションの情報、GetAsyncKeyStateメソッドを使用したキーボードの入力情報、マウスクリックの情報を抜き取ります。
    抜き取ったデータはマルウェアのログファイルに追記していき、データがたまるとC2に送信します。
    送信するときにはHTTPのPOSTが使われますが、そのURIはWordPressのコンテンツの更新のように見えるものになっています。
  • FPSpy
    こちらもWindows環境で動作するマルウェアです。
    ファイル名がsys.dllとなっている、ファイル形式がDLLのバックドア型マルウェアです。
    このマルウェアには、キーロガー機能もありますし、システム情報を収集する、別のペイロードをダウンロードして実行する、任意のコマンドを実行する、感染したデバイス上のドライブやフォルダーやファイルを列挙するなどの機能も有しています。

これら2つのマルウェアは機能に重複はありますが、形式の異なるマルウェアです。
しかし、その内部構造を見てみると、キーロガー機能の部分のコードの類似性が高い、検出回避の機構の作戦が同じ、使用するHTTPのパケットの構造が同じ、など、いくつもの共通点が確認されています。
これらは偶然とは考えにくいレベルでの共通性となっています。
コードを入手した別のアクターが作成したという可能性もあるかもしれませんが、同じ脅威アクターによるものと考えるのが自然に思えます。
現在想定されるこれらのマルウェアの開発者は、北朝鮮に関連しているとされるSparkling Piscesです。

インターネットはネットワークです。
ネットワークには国境はありません。
サイバー脅威のニュースを見るとき、ともすると、どこか遠い国の話だとか、まるで映画の中の話のように思えることもありますが、決して他人事ではありません。
世界のいろいろなところで新しいマルウェアが観測されていますが、これら2つのマルウェアの現在の主たるターゲットは韓国と日本です。

Unraveling Sparkling Pisces’s Tool Set: KLogEXE and FPSpy

https://unit42.paloaltonetworks.com/kimsuky-new-keylogger-backdoor-variant/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。