Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) BabyShark Attack Campaign

BabyShark Attack Campaign

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:

Изследователи по киберсигурност разкриха продължаващи и развиващи се атаки от севернокорейската хакерска група Kimsuky, която използва сложна тактика за социално инженерство, известна като ClickFix, за разпространение на зловредния софтуер BabyShark. Тези кампании са насочени към експерти по националната сигурност и използват както човешка измама, така и техническа скритост, за да получат дългосрочен достъп до системите на жертвите.

Насочване към експерти с примамки за фишинг

Групата за хакерски атаки Kimsuky активно използва фишинг имейли от януари 2025 г., като първоначално се фокусира върху южнокорейски експерти по национална сигурност. Нападателите се маскират като представители на легитимно немскоезично бизнес издание и примамват жертвите с фалшиви заявки за интервюта. Тези имейли съдържат връзки към злонамерени RAR архиви, които, след като бъдат отворени, внедряват Visual Basic Script (VBS). Този скрипт стартира файл-примамка в Google Docs, за да изглежда легитимен, като същевременно тихо изпълнява код, за да осигури постоянство чрез планирани задачи и да открадне системна информация.

Подвеждащи персони и модифицирани варианти на ClickFix

До март 2025 г. Kimsuky ескалира усилията си, като се представя за високопоставен служител по националната сигурност на САЩ. Новите фишинг имейли съдържаха PDF файл със списък с измислени въпроси за срещи и подвеждаха получателите да въведат „код за удостоверяване“, за да получат достъп до предполагаемо защитено съдържание. Това представлява промяна в метода ClickFix, от поправяне на фалшиви грешки към въвеждане на кодове, засилвайки илюзията за легитимност.

През април 2025 г. се появи друг вариант, този път представящ се за японски дипломат и препращащ към предложена среща с японския посланик в САЩ. Атаката отново използва страница-примамка в Google Docs, за да маскира изпълнението на обфусцирана PowerShell команда, позволявайки продължаващо извличане на данни и разполагане на полезен товар чрез постоянна C2 комуникация.

Използване на фалшиви портали за работа и изскачащи прозорци като оръжие

В по-сложен обрат, Кимсуки започнал да използва фалшиви уебсайтове, представящи се за портали за работа в областта на отбраната. Тези сайтове показвали фалшиви обяви за работа, които при кликване задействали изскачащи прозорци в стил ClickFix, подканващи потребителите да отворят диалоговия прозорец „Изпълнение“ на Windows и да изпълнят команда PowerShell.
Тази команда насочва потребителите да инсталират Chrome Remote Desktop, предоставяйки на атакуващите пълен отдалечен достъп чрез SSH през C2 домейна kida.plusdocs.kro. Неправилна конфигурация на C2 сървъра разкри данни за жертвата, за които се смята, че произхождат от компрометирани южнокорейски системи. Освен това, китайски IP адрес, свързан с тази инфраструктура, съдържаше лог за keylogging и ZIP архив на Proton Drive, доставящ BabyShark чрез сложна многоетапна верига.

Последни иновации: Фалшива CAPTCHA и внедряване на AutoIt

Едва през юни 2025 г. Kimsuky започна да използва фалшиви страници за проверка на Naver CAPTCHA. Тези фалшиви страници инструктираха потребителите да поставят PowerShell команди в диалоговия прозорец „Изпълнение“, изпълнявайки AutoIt скрипт, който събираше чувствителна информация. Това допълнително демонстрира адаптивното използване на инструменти, базирани на скриптове, и социално инженерство от страна на групата, за да поддържа позициите си в среда на жертви.

Разширяване на фишинг фронтовете: Академична маскировка и HWP атаки

Освен ClickFix, Kimsuky е свързан и с фишинг кампании, маскирани като академична кореспонденция. Тези имейли изглежда са заявки за преглед на научна статия и включват защитен с парола HWP документ. След като бъде отворен, злонамереният документ използва вграден OLE обект, за да изпълни PowerShell скрипт. Този скрипт извършва подробно системно разузнаване и внедрява AnyDesk, легитимен инструмент за отдалечен работен плот, за да поддържа постоянен отдалечен достъп.

Ключови изводи: Тактики и техники с един поглед

Атаките на Кимсуки чрез социално инженерство разчитат на:

  • Представяне за доверени личности и институции (журналисти, дипломати, академици)
  • Използване на примамливи файлове (Google Docs, PDF файлове, HWP документи) за маскиране на злонамерена дейност
  • Манипулиране на потребители да изпълняват PowerShell команди чрез фалшиви грешки, подкани за удостоверяване или CAPTCHA страници

Техническите отличителни белези на кампанията включват :

  • Постоянен достъп чрез планирани задачи и софтуер за отдалечен достъп (AnyDesk, Chrome Remote Desktop)
  • Многоетапна доставка на зловреден софтуер BabyShark
  • Използване на инструменти за автоматизация, базирани на скриптове, като AutoIt
  • Използвани уязвимости в инфраструктурата, разкриващи откраднати данни на жертвата

Заключение: Постоянно развиваща се заплаха

Кампанията BabyShark илюстрира гъвкавостта на Kimsuky в разработването на техники за социално инженерство и използването на легитимен софтуер и публична инфраструктура за злонамерени цели. Стратегията ClickFix подчертава как злонамерените лица продължават да експлоатират човешкото поведение, както и системните уязвимости. Бдителността, многопластовите стратегии за защита и обучението на потребителите остават от решаващо значение за смекчаване на рисковете, породени от такива сложни злонамерени лица.

Тенденция

Dersinstion.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Дори едно невнимателно кликване може да отвори вратите за заплахи за сигурността. Измамниците непрекъснато усъвършенстват тактики, за да заблуждават потребителите, превръщайки невинното сърфиране в...

Най-гледан

Зареждане...