Análise dos Malwares KLogEXE e FPSpy Implantados por Hackers Norte-Coreanos
- Diego Arantes
- 27 de set. de 2024
- 3 min de leitura
Introdução
Recentemente, pesquisadores da Unit 42 descobriram novas amostras de malware usadas pelo grupo de ameaças Sparkling Pisces, também conhecido como Kimsuky, um APT (Advanced Persistent Threat) da Coreia do Norte. Entre os malwares identificados estão o KLogEXE, um novo tipo de keylogger, e uma variante do backdoor chamada FPSpy. Essas ferramentas reforçam a capacidade do grupo em realizar ataques de ciberespionagem sofisticados, focados principalmente em spear phishing e exfiltração de dados.
Este artigo oferece uma análise detalhada desses dois malwares, seus modos de operação, seus alvos e as medidas de mitigação recomendadas para lidar com essas ameaças.
O Grupo de Ameaça: Sparkling Pisces (Kimsuky)
O Sparkling Pisces é conhecido por suas campanhas de ciberespionagem, com foco inicial em instituições governamentais e de pesquisa na Coreia do Sul, mas com o tempo expandiu suas operações para outros países, incluindo os Estados Unidos. O grupo se destaca por sua técnica de spear phishing, sendo responsável por induzir vítimas a executar malwares por meio de e-mails disfarçados como de empresas legítimas.
Entre os ataques mais notáveis está a invasão à Korea Hydro and Nuclear Power (KHNP) em 2014. Desde então, o grupo tem refinado suas ferramentas e estratégias, como demonstrado com o uso dos malwares KLogEXE e FPSpy.
Análise dos Malwares
KLogEXE: Um Keylogger Sofisticado
O KLogEXE é um malware desenvolvido em C++, com funcionalidades avançadas de coleta de dados. A partir da análise forense, constatou-se que ele registra:
Aplicativos em execução na máquina infectada.
Todas as teclas pressionadas, através da função GetAsyncKeyState.
Cliques de mouse, com o nome do botão clicado.
Os dados são armazenados em um arquivo .ini no diretório C:\Users\user\AppData\Roaming\Microsoft\desktops.ini, e quando o arquivo atinge um tamanho predefinido, é criado um novo arquivo com um nome aleatório, que é enviado para o servidor C2 (comando e controle) via HTTP.
FPSpy: Uma Variante Desconhecida de Backdoor
O FPSpy é uma ameaça que opera discretamente desde 2022 e parece compartilhar muitas características com malwares anteriormente documentados, como o KGHSpy, identificado em 2020. A principal diferença entre o FPSpy e o KLogEXE é que o primeiro opera como uma DLL (Dynamic Link Library), chamada sys.dll, com funcionalidades de execução de comandos remotos e download de módulos adicionais.
Os principais recursos do FPSpy incluem:
Coleta de informações detalhadas do sistema.
Execução de comandos arbitrários.
Armazenamento de dados em arquivos como Sysinfo_<data>.txt.
Operação multithreaded para gerenciar a comunicação com o servidor C2.
Similaridades Entre os Malwares
Apesar de diferentes em suas funções principais, o KLogEXE e o FPSpy compartilham algumas características de código, sugerindo que ambos foram desenvolvidos pela mesma equipe. Entre as semelhanças estão:
Uso de código do HackingTeam para reforçar a detecção estática.
Estrutura semelhante de pacotes HTTP, incluindo o uso do navegador Chrome antigo como User-Agent.
Armazenamento de dados em arquivos .ini, com formato de conteúdo similar.
Recomendações de Mitigação
Para prevenir infecções por esses malwares, as seguintes medidas são recomendadas:
Software antivírus confiável: Instale e mantenha atualizado um antivírus de renome.
Atualizações regulares: Mantenha o sistema operacional e os aplicativos sempre atualizados com os patches de segurança mais recentes.
Cuidado com links suspeitos: Não clique em links ou abra anexos de e-mails de remetentes desconhecidos.
Backups regulares: Realize backups periódicos de dados importantes.
Autenticação de dois fatores (2FA): Habilite o 2FA em todas as contas.
Treinamento de usuários: Conscientize os colaboradores sobre os riscos e as melhores práticas de segurança.
Monitoramento de rede: Utilize ferramentas de monitoramento para identificar atividades suspeitas.
Indicadores de Comprometimento (IOCs)
Os IOCs fornecem informações cruciais para detectar e mitigar essas ameaças. Entre eles, destacam-se:
Arquivos maliciosos com as seguintes assinaturas:
KLogEXE: powershell.exe (MD5: e1d683ee1746c08c5fff1c4c2b3b02f0)
FPSpy: sys.dll (MD5: 6d6c1b175e435f5564341cc1f2c33ddf)
Domínios e IPs usados para comunicação com os servidores C2:
mail.apollo-page.re[.]kr
152.32.138[.]167
Esses indicadores devem ser inseridos em sistemas de monitoramento de segurança para detecção proativa de ameaças.
Conclusão
As descobertas envolvendo os malwares KLogEXE e FPSpy mostram o avanço contínuo do grupo Kimsuky, revelando uma capacidade cada vez maior de realizar ataques sofisticados. A identificação precoce e a adoção de boas práticas de segurança, como as recomendadas neste artigo, são essenciais para mitigar os riscos associados a essas novas ameaças.
Comments