W Korei Północnej grupa Kimsuky wykorzystuje złośliwe oprogramowanie forceCopy do kradzieży haseł przeglądarki

Nowe zagrożenie z Korei Północnej – co powinieneś wiedzieć o atakach grupy Kimsuky

Północnokoreańska grupa hakerska Kimsuky, znana również jako APT43, rozpoczęła nową kampanię cyberataków wykorzystującą złośliwe oprogramowanie forceCopy. Eksperci ds. cyberbezpieczeństwa odkryli, że grupa używa plików LNK do infekowania systemów i kradzieży zapisanych haseł z przeglądarek internetowych.

Jak działa forceCopy – mechanizm ataku

Atak rozpoczyna się od złośliwego pliku LNK, który po uruchomieniu wykonuje szereg szkodliwych poleceń PowerShell. Mechanizm działania obejmuje:

• Pobranie złośliwego kodu z serwera kontrolowanego przez atakujących
• Utworzenie fałszywego folderu w lokalizacji %PUBLIC%
• Skopiowanie legalnego pliku notepad.exe do utworzonego folderu
• Wstrzyknięcie złośliwego kodu do procesu notatnika

Kradzież danych – główny cel atakujących

ForceCopy koncentruje się na wykradaniu zapisanych haseł z popularnych przeglądarek internetowych, w tym:

• Google Chrome
• Microsoft Edge
• Mozilla Firefox
• Opera

Skradzione dane są następnie szyfrowane i przesyłane na serwery kontrolowane przez grupę Kimsuky.

Techniki maskowania złośliwej aktywności

Grupa stosuje zaawansowane metody ukrywania swojej działalności:

• Wykorzystanie legalnego procesu notepad.exe jako „przykrywki”
• Szyfrowanie komunikacji z serwerami C2
• Maskowanie złośliwych plików poprzez umieszczanie ich w folderach systemowych

Jak się chronić przed atakami forceCopy?

Rekomendowane środki bezpieczeństwa:

1. Podstawowa ochrona:

• Regularne aktualizacje systemu operacyjnego i oprogramowania
• Używanie aktualnego oprogramowania antywirusowego
• Unikanie otwierania podejrzanych załączników i linków

2. Zaawansowane zabezpieczenia:

• Wdrożenie systemu wykrywania i reagowania na zagrożenia (EDR)
• Monitoring ruchu sieciowego pod kątem podejrzanej aktywności
• Segmentacja sieci i ograniczenie uprawnień użytkowników

Najczęściej zadawane pytania (FAQ)

Czy forceCopy może zaatakować mój komputer domowy?
Tak, ale ryzyko jest niższe niż w przypadku firm i instytucji. Grupa Kimsuky zazwyczaj celuje w organizacje rządowe i korporacje.

Jak sprawdzić, czy system został zainfekowany?
Należy zwrócić uwagę na:

• Nietypowe procesy w Menedżerze zadań
• Nieautoryzowane zmiany w plikach systemowych
• Podejrzaną aktywność sieciową

Co zrobić w przypadku wykrycia infekcji?

• Natychmiast odłączyć system od sieci
• Zmienić wszystkie zapisane hasła
• Przeprowadzić pełne skanowanie antywirusowe
• Zgłosić incydent odpowiednim służbom

Podsumowanie i rekomendacje

Ataki grupy Kimsuky stanowią poważne zagrożenie dla bezpieczeństwa cybernetycznego. Kluczowe jest wdrożenie kompleksowej strategii ochrony, obejmującej zarówno rozwiązania techniczne, jak i edukację użytkowników.

Zalecane działania:

• Regularne szkolenia pracowników z zakresu cyberbezpieczeństwa
• Wdrożenie wielopoziomowej ochrony systemów
• Regularne tworzenie kopii zapasowych krytycznych danych
• Monitorowanie i szybkie reagowanie na podejrzane aktywności