قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) BabyShark Attack Campaign

BabyShark Attack Campaign

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار
ترجمه به:

محققان امنیت سایبری حملات مداوم و در حال تکامل گروه هکرهای کره شمالی، کیمسوکی، را کشف کرده‌اند که از یک تاکتیک مهندسی اجتماعی پیچیده به نام ClickFix برای انتشار بدافزار BabyShark استفاده می‌کنند. این کمپین‌ها کارشناسان امنیت ملی را هدف قرار می‌دهند و از فریب انسانی و مخفی‌کاری فنی برای دسترسی بلندمدت به سیستم‌های قربانی بهره می‌برند.

هدف قرار دادن متخصصان با فریب‌های فیشینگ هدفمند

گروه تهدید کیمسوکی از ژانویه ۲۰۲۵ به طور فعال ایمیل‌های فیشینگ هدف‌دار را مستقر کرده و در ابتدا بر کارشناسان امنیت ملی کره جنوبی تمرکز داشته است. مهاجمان خود را به عنوان نمایندگان یک نشریه تجاری معتبر آلمانی زبان جا می‌زنند و قربانیان را با درخواست‌های مصاحبه جعلی فریب می‌دهند. این ایمیل‌ها حاوی پیوندهایی به بایگانی‌های مخرب RAR هستند که پس از باز شدن، یک اسکریپت ویژوال بیسیک (VBS) را اجرا می‌کنند. این اسکریپت یک فایل Google Docs جعلی را راه‌اندازی می‌کند تا قانونی به نظر برسد، در حالی که بی‌سروصدا کدی را اجرا می‌کند تا از طریق وظایف برنامه‌ریزی شده، پایداری ایجاد کند و اطلاعات سیستم را سرقت کند.

شخصیت‌های فریبنده و انواع اصلاح‌شده‌ی ClickFix

تا مارس ۲۰۲۵، کیمسوکی با جعل هویت یک مقام عالی‌رتبه امنیت ملی ایالات متحده، تلاش‌های خود را تشدید کرد. ایمیل‌های فیشینگ جدید شامل یک فایل PDF با فهرستی از سوالات ساختگی جلسه بودند و گیرندگان را فریب می‌دادند تا برای دسترسی به محتوای ظاهراً امن، یک «کد احراز هویت» وارد کنند. این نشان دهنده تغییر در روش ClickFix است، از رفع خطاهای جعلی به وارد کردن کدها، که توهم مشروعیت را تقویت می‌کند.

در آوریل ۲۰۲۵، نوع دیگری از این بدافزار پدیدار شد، این بار با جعل هویت یک دیپلمات ژاپنی و ارجاع به جلسه‌ای پیشنهادی با سفیر ژاپن در ایالات متحده. این حمله دوباره از یک صفحه جعلی Google Docs برای پنهان کردن اجرای یک دستور PowerShell مبهم استفاده کرد و امکان ادامه استخراج داده‌ها و استقرار پیلود از طریق ارتباط مداوم C2 را فراهم کرد.

استفاده از پورتال‌های شغلی جعلی و پاپ‌آپ‌ها به عنوان سلاح

در یک اقدام پیچیده‌تر، کیمسوکی شروع به استفاده از وب‌سایت‌های جعلی کرد که خود را به جای پورتال‌های شغلی تحقیقات دفاعی جا می‌زدند. این سایت‌ها فهرست‌های شغلی جعلی را نمایش می‌دادند که با کلیک روی آنها، پنجره‌های پاپ‌آپ به سبک ClickFix ظاهر می‌شدند و از کاربران می‌خواستند که پنجره Run ویندوز را باز کرده و یک دستور PowerShell را اجرا کنند.
این دستور کاربران را به نصب Chrome Remote Desktop هدایت می‌کرد و به مهاجمان دسترسی کامل از راه دور از طریق SSH و از طریق دامنه C2 به نام kida.plusdocs.kro.kr می‌داد. پیکربندی نادرست در سرور C2، داده‌های قربانی را در معرض خطر قرار داد که گمان می‌رود از سیستم‌های آسیب‌دیده کره جنوبی سرچشمه گرفته باشد. علاوه بر این، یک IP چینی مرتبط با این زیرساخت حاوی یک گزارش keylogging و یک آرشیو ZIP از Proton Drive بود که BabyShark را از طریق یک زنجیره چند مرحله‌ای پیچیده ارائه می‌داد.

نوآوری‌های اخیر: کپچای جعلی و استقرار خودکار

اخیراً در ژوئن ۲۰۲۵، کیمسوکی شروع به سوءاستفاده از صفحات جعلی تأیید هویت کپچای ناور کرد. این صفحات جعلی به کاربران دستور می‌دادند که دستورات PowerShell را در پنجره Run قرار دهند و یک اسکریپت AutoIt را اجرا کنند که اطلاعات حساس را جمع‌آوری می‌کرد. این موضوع، استفاده تطبیقی این گروه از ابزارهای مبتنی بر اسکریپت و مهندسی اجتماعی را برای حفظ جایگاه خود در محیط‌های قربانی، بیشتر نشان می‌دهد.

گسترش جبهه‌های فیشینگ: حملات تغییر قیافه آکادمیک و HWP

فراتر از ClickFix، کیمسوکی به کمپین‌های فیشینگ که در پوشش مکاتبات دانشگاهی پنهان شده‌اند نیز مرتبط بوده است. این ایمیل‌ها ظاهراً درخواست‌هایی برای بررسی یک مقاله تحقیقاتی هستند و شامل یک سند HWP محافظت‌شده با رمز عبور می‌باشند. پس از باز شدن، سند مخرب از یک شیء OLE تعبیه‌شده برای اجرای یک اسکریپت PowerShell استفاده می‌کند. این اسکریپت شناسایی دقیق سیستم را انجام می‌دهد و AnyDesk، یک ابزار دسکتاپ از راه دور قانونی، را برای حفظ دسترسی مداوم از راه دور مستقر می‌کند.

نکات کلیدی: تاکتیک‌ها و تکنیک‌ها در یک نگاه

حملات مهندسی اجتماعی کیمسوکی بر موارد زیر متکی است:

  • جعل هویت چهره‌ها و نهادهای مورد اعتماد (روزنامه‌نگاران، دیپلمات‌ها، دانشگاهیان)
  • استفاده از فایل‌های جعلی (گوگل داکز، پی‌دی‌اف‌ها، اسناد HWP) برای پنهان کردن فعالیت‌های مخرب
  • دستکاری کاربران برای اجرای دستورات PowerShell از طریق خطاهای جعلی، درخواست‌های احراز هویت یا صفحات CAPTCHA

ویژگی‌های فنی کمپین عبارتند از :

  • دسترسی مداوم از طریق وظایف زمان‌بندی‌شده و نرم‌افزارهای دسترسی از راه دور (AnyDesk، Chrome Remote Desktop)
  • انتشار چند مرحله‌ای بدافزار BabyShark
  • استفاده از ابزارهای اتوماسیون مبتنی بر اسکریپت مانند AutoIt
  • آسیب‌پذیری‌های زیرساختی مورد سوءاستفاده قرار گرفته و داده‌های سرقت شده قربانی را افشا می‌کنند

نتیجه‌گیری: یک تهدید دائماً در حال تکامل

کمپین BabyShark چابکی Kimsuky را در تکامل تکنیک‌های مهندسی اجتماعی و بهره‌برداری از نرم‌افزارهای قانونی و زیرساخت‌های عمومی برای اهداف مخرب نشان می‌دهد. استراتژی ClickFix نشان می‌دهد که چگونه عوامل تهدید همچنان از رفتار انسان به اندازه آسیب‌پذیری‌های سیستم سوءاستفاده می‌کنند. هوشیاری، استراتژی‌های دفاعی لایه‌ای و آموزش کاربر همچنان برای کاهش خطرات ناشی از چنین عوامل تهدید پیچیده‌ای بسیار مهم است.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,407
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...