BabyShark Attacki kampaania

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara

Tõlgi:

Küberjulgeoleku uurijad on avastanud Põhja-Korea häkkerigrupi Kimsuky jätkuvaid ja arenevaid rünnakuid, kes kasutavad BabySharki pahavara levitamiseks keerukat sotsiaalse manipuleerimise taktikat, mida tuntakse ClickFixi nime all. Need kampaaniad on suunatud riikliku julgeoleku ekspertidele ja kasutavad nii inimeste petmist kui ka tehnilist vargsi, et saada pikaajaline juurdepääs ohvri süsteemidele.

Sisukord

Ekspertide sihtimine odapüügilantide abil

Kimsuky ohurühmitus on alates 2025. aasta jaanuarist aktiivselt edastanud odavõngitsuskirju, keskendudes algselt Lõuna-Korea riikliku julgeoleku ekspertidele. Ründajad teesklevad end legitiimse saksakeelse äriväljaande esindajateks ja meelitavad ohvreid võltsitud intervjuutaotlustega. Need meilid sisaldavad linke pahatahtlikele RAR-arhiividele, mis avamisel käivitavad Visual Basic skripti (VBS). See skript käivitab peibutusfaili Google Docsis, et näida legaalne, samal ajal vaikselt koodi käivitades, et luua ajastatud ülesannete kaudu püsivus ja varastada süsteemiteavet.

Petlikud isikud ja muudetud ClickFixi variandid

2025. aasta märtsiks oli Kimsuky oma jõupingutusi intensiivistanud, esinedes kõrge USA riikliku julgeoleku ametnikuna. Uued andmepüügimeilid sisaldasid PDF-faili väljamõeldud koosolekuküsimuste loendiga ja petsid saajaid sisestama autentimiskoodi, et pääseda ligi väidetavalt turvalisele sisule. See kujutab endast nihet ClickFixi meetodis, kus võltsvigade parandamisest minnakse üle koodide sisestamisele, mis suurendab legitiimsuse illusiooni.

2025. aasta aprillis ilmnes veel üks variant, mis seekord esines Jaapani diplomaadina ja viitas kavandatud kohtumisele Jaapani suursaadikuga USA-s. Rünnakus kasutati taas peibutusGoogle Docsi lehte, et varjata hägustatud PowerShelli käsu täitmist, võimaldades jätkuvat andmete väljavoolu ja kasuliku teabe levitamist püsiva C2-side kaudu.

Võltsitud tööportaalide ja hüpikakende relvastamine

Keerulisemas etapis hakkas Kimsuky kasutama võltsveebisaite, mis imiteerisid kaitseuuringute tööportaalide olemust. Need saidid kuvasid võltsitud töökuulutusi, millele klõpsamisel ilmusid ClickFixi-tüüpi hüpikaknad, mis kutsusid kasutajaid üles avama Windowsi käivitamisdialoogi ja käivitama PowerShelli käsu.
See käsk suunas kasutajad installima Chrome Remote Desktopi, andes ründajatele täieliku kaugjuurdepääsu SSH kaudu C2 domeeni kida.plusdocs.kro.kr kaudu. C2 serveri vale konfiguratsioon paljastas haavatavate andmete lekke, mis arvatavasti pärinesid ohustatud Lõuna-Korea süsteemidest. Lisaks sisaldas selle infrastruktuuriga lingitud Hiina IP-aadress klahvilogimise logi ja Proton Drive'i ZIP-arhiivi, mis edastas BabySharki keeruka mitmeastmelise ahela kaudu.

Hiljutised uuendused: võltsitud CAPTCHA ja automaatse sisselogimise juurutamine

Veel 2025. aasta juunis hakkas Kimsuky ära kasutama võltsitud Naveri CAPTCHA kinnituslehti. Need võltsitud lehed käskisid kasutajatel kleepida PowerShelli käske dialoogiboksi Käivita, käivitades AutoIt-skripti, mis kogus tundlikku teavet. See näitab veelgi rühmituse kohanduvat skriptipõhiste tööriistade ja sotsiaalse manipuleerimise kasutamist, et säilitada oma positsiooni ohvrikeskkondades.

Andmepüügirinnete laienemine: akadeemiline maskeering ja arvutikasvatajate rünnakud

Lisaks ClickFixile on Kimsukyt seostatud ka akadeemiliseks kirjavahetuseks maskeeritud andmepüügikampaaniatega. Need meilid näivad olevat uurimistöö ülevaatamise taotlused ja sisaldavad parooliga kaitstud HWP-dokumenti. Pärast avamist kasutab pahatahtlik dokument manustatud OLE-objekti PowerShelli skripti käivitamiseks. See skript viib läbi üksikasjaliku süsteemi luure ja juurutab püsiva kaugjuurdepääsu säilitamiseks AnyDeski, legitiimse kaugtöölaua tööriista.

Peamised järeldused: taktika ja tehnikad lühidalt

Kimsuky sotsiaalse manipuleerimise rünnakud tuginevad:

Usaldusväärsete isikute ja institutsioonide (ajakirjanike, diplomaatide, akadeemikute) jäljendamine
Peibutusfailide (Google Docs, PDF-id, HWP-dokumendid) kasutamine pahatahtliku tegevuse varjamiseks
Kasutajate manipuleerimine PowerShelli käskude käivitamiseks võltsitud vigade, autentimisviipade või CAPTCHA-lehtede abil

Kampaania tehniliste tunnuste hulka kuuluvad :

Püsiv juurdepääs ajastatud ülesannete ja kaugjuurdepääsu tarkvara (AnyDesk, Chrome Remote Desktop) kaudu
BabySharki pahavara mitmeastmeline levitamine
Skriptipõhiste automatiseerimistööriistade, näiteks AutoIt, kasutamine
Taristu haavatavuste ärakasutamine, mis paljastab varastatud ohvrite andmeid

Kokkuvõte: pidevalt arenev oht

BabySharki kampaania näitab Kimsuky paindlikkust oma sotsiaalse manipuleerimise tehnikate arendamisel ning legaalse tarkvara ja avaliku infrastruktuuri kasutamisel pahatahtlikel eesmärkidel. ClickFixi strateegia toob esile, kuidas ohutegijad jätkavad nii inimkäitumise kui ka süsteemi haavatavuste ärakasutamist. Valvsus, kihilised kaitsestrateegiad ja kasutajate harimine on endiselt üliolulised selliste keerukate ohutegijate tekitatud riskide leevendamiseks.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda

BabyShark Attacki kampaania

Ekspertide sihtimine odapüügilantide abil

Petlikud isikud ja muudetud ClickFixi variandid

Võltsitud tööportaalide ja hüpikakende relvastamine

Hiljutised uuendused: võltsitud CAPTCHA ja automaatse sisselogimise juurutamine

Andmepüügirinnete laienemine: akadeemiline maskeering ja arvutikasvatajate rünnakud

Peamised järeldused: taktika ja tehnikad lühidalt

Kokkuvõte: pidevalt arenev oht

Esita kommentaar

Trendikas

Dersinstion.com

Scanandclean.xyz

SafeWatch

Enim vaadatud

Pahavara

"Geek Squad" meilipettus

Fuq.com