Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Kampaň útoku BabyShark

Kampaň útoku BabyShark

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili pokračující a vyvíjející se útoky severokorejské hackerské skupiny Kimsuky, která k šíření malwaru BabyShark používá propracovanou taktiku sociálního inženýrství známou jako ClickFix. Tyto kampaně cílí na experty na národní bezpečnost a využívají jak lidské klamání, tak technické utajení k získání dlouhodobého přístupu k systémům obětí.

Cílení na experty pomocí spear-phishingových návnad

Skupina Kimsuky aktivně rozesílá phishingové e-maily od ledna 2025 a zpočátku se zaměřuje na jihokorejské experty na národní bezpečnost. Útočníci se vydávají za zástupce legitimního německy psaného obchodního publikace a lákají oběti falešnými žádostmi o rozhovor. Tyto e-maily obsahují odkazy na škodlivé archivy RAR, které po otevření nasazují skript Visual Basic (VBS). Tento skript spustí klamný soubor Dokumentů Google, který se tváří jako legitimní, a zároveň nenápadně spouští kód, jehož cílem je zajistit trvalost v rámci naplánovaných úloh a ukradnout systémové informace.

Klamavé persony a upravené varianty ClickFixu

V březnu 2025 Kimsuky eskalovala své úsilí tím, že se vydávala za vysoce postaveného amerického úředníka národní bezpečnosti. Nové phishingové e-maily obsahovaly PDF se seznamem vymyšlených otázek ze schůzky a klamavě nutily příjemce k zadání „autentizačního kódu“ pro přístup k údajně zabezpečenému obsahu. To představuje posun v metodě ClickFix od opravování falešných chyb k zadávání kódů, čímž se posiluje iluze legitimity.

V dubnu 2025 se objevila další varianta, tentokrát vydávající se za japonského diplomata a odkazující na navrhovanou schůzku s japonským velvyslancem v USA. Útok opět použil klamnou stránku Dokumentů Google k maskování provedení zahaleného příkazu PowerShellu, což umožnilo pokračující exfiltraci dat a nasazení datového zatížení prostřednictvím trvalé komunikace C2.

Zneužívání falešných pracovních portálů a vyskakovacích oken jako zbraní

V propracovanějším zvratu začal Kimsuky používat falešné webové stránky, které se vydávaly za portály s nabídkou práce v oblasti obranného výzkumu. Tyto stránky zobrazovaly falešné nabídky práce, na které se po kliknutí zobrazovala vyskakovací okna ve stylu ClickFixu, která uživatele vyzývala k otevření dialogového okna Spustit ve Windows a spuštění příkazu PowerShellu.
Tento příkaz nařídil uživatelům nainstalovat Vzdálenou plochu Chrome, což útočníkům poskytlo plný vzdálený přístup přes SSH prostřednictvím domény C2 kida.plusdocs.kro. Chybná konfigurace serveru C2 odhalila odhalená data oběti, o nichž se předpokládá, že pocházejí z napadených jihokorejských systémů. Čínská IP adresa propojená s touto infrastrukturou navíc obsahovala protokol keyloggeru a ZIP archiv Proton Drive, který doručoval BabyShark prostřednictvím složitého vícestupňového řetězce.

Nedávné inovace: Falešná CAPTCHA a nasazení AutoIt

Ještě v červnu 2025 začala skupina Kimsuky zneužívat falešné ověřovací stránky Naver CAPTCHA. Tyto falešné stránky instruovaly uživatele, aby do dialogového okna Spustit vložili příkazy PowerShellu a spustili skript AutoIt, který shromažďoval citlivé informace. To dále demonstruje adaptivní využívání nástrojů založených na skriptech a sociálního inženýrství skupinou k udržení si pozice v prostředí obětí.

Rozšiřující se phishingové fronty: Akademické převleky a útoky HWP

Kromě ClickFixu byl Kimsuky spojován také s phishingovými kampaněmi maskovanými jako akademická korespondence. Tyto e-maily se zdají být žádostmi o recenzování výzkumné práce a obsahují heslem chráněný HWP dokument. Po otevření škodlivý dokument využívá vložený objekt OLE ke spuštění PowerShellového skriptu. Tento skript provádí podrobnou analýzu systému a nasazuje AnyDesk, legitimní nástroj pro vzdálenou plochu, k zajištění trvalého vzdáleného přístupu.

Klíčové poznatky: Taktiky a techniky v kostce

Kimsukyho útoky sociálního inženýrství se spoléhají na:

  • Vydávání se za důvěryhodné osoby a instituce (novináři, diplomaté, akademici)
  • Použití klamných souborů (Google Docs, PDF, HWP dokumenty) k maskování škodlivé aktivity
  • Manipulace uživatelů ke spuštění příkazů PowerShellu prostřednictvím falešných chyb, ověřovacích výzev nebo stránek CAPTCHA

Mezi technické znaky kampaně patří :

  • Trvalý přístup prostřednictvím naplánovaných úloh a softwaru pro vzdálený přístup (AnyDesk, Vzdálená plocha Chrome)
  • Vícestupňové doručování malwaru BabyShark
  • Použití automatizačních nástrojů založených na skriptech, jako je AutoIt
  • Zneužití zranitelností infrastruktury odhalující ukradená data obětí

Závěr: Neustále se vyvíjející hrozba

Kampaň BabyShark ilustruje agilitu společnosti Kimsuky ve vývoji technik sociálního inženýrství a využívání legitimního softwaru a veřejné infrastruktury ke škodlivým účelům. Strategie ClickFix zdůrazňuje, jak útočníci nadále zneužívají lidské chování stejně jako zranitelnosti systémů. Bdělost, vrstvené obranné strategie a vzdělávání uživatelů zůstávají klíčové pro zmírnění rizik, která představují takoví sofistikovaní útočníci.

Trendy

Nejvíce shlédnuto

Načítání...