عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) BabyShark Attack Campaign

BabyShark Attack Campaign

بواسطة Mezo في التهديد المستمر المتقدم (APT), البرمجيات الخبيثة
ترجمة الى:

كشف باحثو الأمن السيبراني عن هجمات متواصلة ومتطورة من قِبل مجموعة القراصنة الكورية الشمالية "كيمسوكي"، التي تستخدم تكتيكًا هندسيًا اجتماعيًا مُعقدًا يُعرف باسم "كليك فيكس" لنشر برمجية "بيبي شارك" الخبيثة. تستهدف هذه الحملات خبراء الأمن القومي، وتستغل الخداع البشري والتخفي التقني للوصول طويل الأمد إلى أنظمة الضحايا.

استهداف الخبراء باستخدام أساليب التصيد الاحتيالي

دأبت مجموعة تهديدات كيمسوكي على نشر رسائل بريد إلكتروني احتيالية موجهة منذ يناير 2025، مركّزة في البداية على خبراء الأمن القومي الكوريين الجنوبيين. ينتحل المهاجمون صفة ممثلين عن صحيفة أعمال رسمية ناطقة باللغة الألمانية، ويغريون الضحايا بطلبات مقابلات وهمية. تحتوي هذه الرسائل على روابط لملفات RAR خبيثة، والتي بمجرد فتحها، تنشر نصًا برمجيًا (VBS) من نوع Visual Basic. يُشغّل هذا النص ملفًا وهميًا من نوع Google Docs ليبدو وكأنه أصلي، بينما يُنفّذ التعليمات البرمجية بهدوء لضمان استمرارية المهام المجدولة وسرقة معلومات النظام.

الشخصيات الخادعة ومتغيرات ClickFix المعدلة

بحلول مارس 2025، صعّدت كيمسوكي جهودها بانتحال شخصية مسؤول أمني أمريكي رفيع المستوى. تضمنت رسائل التصيد الاحتيالي الجديدة ملف PDF يحتوي على قائمة أسئلة اجتماعات مُفبركة، وخدعت المستلمين لإدخال "رمز مصادقة" للوصول إلى محتوى يُفترض أنه آمن. يُمثل هذا تحولًا في أسلوب ClickFix، من إصلاح الأخطاء الوهمية إلى إدخال الرموز، مما يُعزز وهم الشرعية.

في أبريل 2025، ظهر متغير آخر، هذه المرة ينتحل شخصية دبلوماسي ياباني ويشير إلى اجتماع مقترح مع السفير الياباني لدى الولايات المتحدة. استخدم الهجوم مرة أخرى صفحة وهمية على Google Docs لإخفاء تنفيذ أمر PowerShell غامض، مما يسمح باستمرار استخراج البيانات ونشر الحمولة عبر اتصالات C2 المستمرة.

تسليح بوابات الوظائف الوهمية والنوافذ المنبثقة

في تطور أكثر تعقيدًا، بدأ كيمسوكي باستخدام مواقع إلكترونية مزيفة تنتحل صفة بوابات وظائف أبحاث الدفاع. عرضت هذه المواقع إعلانات وظائف وهمية، وعند النقر عليها، ظهرت نوافذ منبثقة شبيهة بنوافذ ClickFix تحث المستخدمين على فتح نافذة تشغيل Windows وتنفيذ أمر PowerShell.
وجّه هذا الأمر المستخدمين إلى تثبيت سطح مكتب كروم البعيد، مما منح المهاجمين وصولاً كاملاً عن بُعد عبر SSH من خلال نطاق C2 kida.plusdocs.kro.kr. كشف خطأ في التهيئة على خادم C2 عن بيانات ضحية مكشوفة، يُعتقد أنها مصدرها أنظمة كورية جنوبية مُخترقة. بالإضافة إلى ذلك، احتوى عنوان IP صيني مرتبط بهذه البنية التحتية على سجلّ تسجيلات لوحة المفاتيح وأرشيف ZIP من Proton Drive يُرسل BabyShark عبر سلسلة معقدة متعددة المراحل.

الابتكارات الحديثة: استخدام CAPTCHA الوهمي ونشر AutoIt

في يونيو 2025، بدأ كيمسوكي باستغلال صفحات التحقق المزيفة من Naver CAPTCHA. وجّهت هذه الصفحات المزيفة المستخدمين إلى لصق أوامر PowerShell في نافذة التشغيل، مما أدى إلى تنفيذ نص برمجي من AutoIt يحصد معلومات حساسة. يُظهر هذا استخدام المجموعة المتكيف للأدوات البرمجية والهندسة الاجتماعية للحفاظ على موطئ قدم لها في بيئات الضحايا.

توسع جبهات التصيد الاحتيالي: هجمات التمويه الأكاديمي وهجمات HWP

بالإضافة إلى ClickFix، رُبط كيمسوكي أيضًا بحملات تصيد احتيالي مُقنّعة في صورة مراسلات أكاديمية. تبدو هذه الرسائل الإلكترونية وكأنها طلبات لمراجعة بحث، وتتضمن مستند HWP محميًا بكلمة مرور. بمجرد فتحه، يستخدم المستند الخبيث كائن OLE مُضمّنًا لتشغيل نص برمجي PowerShell. يُجري هذا النص البرمجي استطلاعًا مُفصّلًا للنظام، ويُنشِئ AnyDesk، وهي أداة سطح مكتب بعيد شرعية، للحفاظ على وصول دائم عن بُعد.

النقاط الرئيسية: لمحة عامة عن التكتيكات والتقنيات

تعتمد هجمات الهندسة الاجتماعية التي يشنها Kimsuky على:

  • انتحال شخصيات ومؤسسات موثوقة (صحفيين، دبلوماسيين، أكاديميين)
  • استخدام ملفات وهمية (مستندات Google، ملفات PDF، مستندات HWP) لإخفاء النشاط الضار
  • التلاعب بالمستخدمين لتشغيل أوامر PowerShell من خلال أخطاء وهمية أو مطالبات المصادقة أو صفحات CAPTCHA

تشمل السمات الفنية للحملة ما يلي:

  • الوصول المستمر عبر المهام المجدولة وبرامج الوصول عن بُعد (AnyDesk وChrome Remote Desktop)
  • تسليم برمجيات BabyShark الخبيثة على مراحل متعددة
  • استخدام أدوات الأتمتة القائمة على البرامج النصية مثل AutoIt
  • ثغرات البنية التحتية المستغلة تكشف عن بيانات الضحايا المسروقة

الخلاصة: تهديد متطور باستمرار

تُظهر حملة BabyShark براعة شركة Kimsuky في تطوير تقنيات الهندسة الاجتماعية الخاصة بها والاستفادة من البرامج الشرعية والبنية التحتية العامة لأغراض خبيثة. تُبرز استراتيجية ClickFix كيف يواصل مُخرِجو التهديدات استغلال السلوك البشري بقدر استغلالهم لثغرات النظام. وتظل اليقظة واستراتيجيات الدفاع المُتعددة الطبقات وتوعية المستخدمين عوامل أساسية للتخفيف من المخاطر التي تُشكلها هذه الجهات المُخرِجة المتطورة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,407
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...