KLogEXEとFPSpyは、どちらも新しいマルウェアの名前です。
どんなものなのでしょうか。
- KLogEXE
これはWindows環境で動作するマルウェアです。
ファイル名がpowershell.exeとなっている、ファイル形式がPEのキーロガー型マルウェアです。
侵害されたホスト上で現在実行されているアプリケーションの情報、GetAsyncKeyStateメソッドを使用したキーボードの入力情報、マウスクリックの情報を抜き取ります。
抜き取ったデータはマルウェアのログファイルに追記していき、データがたまるとC2に送信します。
送信するときにはHTTPのPOSTが使われますが、そのURIはWordPressのコンテンツの更新のように見えるものになっています。 - FPSpy
こちらもWindows環境で動作するマルウェアです。
ファイル名がsys.dllとなっている、ファイル形式がDLLのバックドア型マルウェアです。
このマルウェアには、キーロガー機能もありますし、システム情報を収集する、別のペイロードをダウンロードして実行する、任意のコマンドを実行する、感染したデバイス上のドライブやフォルダーやファイルを列挙するなどの機能も有しています。
これら2つのマルウェアは機能に重複はありますが、形式の異なるマルウェアです。
しかし、その内部構造を見てみると、キーロガー機能の部分のコードの類似性が高い、検出回避の機構の作戦が同じ、使用するHTTPのパケットの構造が同じ、など、いくつもの共通点が確認されています。
これらは偶然とは考えにくいレベルでの共通性となっています。
コードを入手した別のアクターが作成したという可能性もあるかもしれませんが、同じ脅威アクターによるものと考えるのが自然に思えます。
現在想定されるこれらのマルウェアの開発者は、北朝鮮に関連しているとされるSparkling Piscesです。
インターネットはネットワークです。
ネットワークには国境はありません。
サイバー脅威のニュースを見るとき、ともすると、どこか遠い国の話だとか、まるで映画の中の話のように思えることもありますが、決して他人事ではありません。
世界のいろいろなところで新しいマルウェアが観測されていますが、これら2つのマルウェアの現在の主たるターゲットは韓国と日本です。
Unraveling Sparkling Pisces’s Tool Set: KLogEXE and FPSpy
https://unit42.paloaltonetworks.com/kimsuky-new-keylogger-backdoor-variant/
この記事をシェア |
---|