BabyShark Attack -kampanja
Kyberturvallisuustutkijat ovat paljastaneet pohjoiskorealaisen hakkeriryhmän Kimsukyn jatkuvia ja kehittyviä hyökkäyksiä. Ryhmä käyttää monimutkaista sosiaalisen manipuloinnin taktiikkaa nimeltä ClickFix levittääkseen BabyShark-haittaohjelmaa. Nämä kampanjat kohdistuvat kansallisen turvallisuuden asiantuntijoihin ja hyödyntävät sekä ihmisten harjoittamaa petosta että teknistä salailua saadakseen pitkäaikaisen pääsyn uhrien järjestelmiin.
Sisällysluettelo
Kohdistamalla asiantuntijoita keihäshuijausvieheillä
Kimsuky-uhkaryhmä on aktiivisesti lähettänyt tietojenkalasteluviestejä tammikuusta 2025 lähtien, keskittyen aluksi eteläkorealaisiin kansallisen turvallisuuden asiantuntijoihin. Hyökkääjät naamioituvat laillisen saksankielisen talousjulkaisun edustajiksi ja houkuttelevat uhreja tekaistuilla haastattelupyynnöillä. Nämä sähköpostit sisältävät linkkejä haitallisiin RAR-arkistoihin, jotka avattaessa ottavat käyttöön Visual Basic -komentosarjan (VBS). Tämä komentosarja käynnistää houkutuskoodin Google Docs -tiedostona näyttääkseen lailliselta ja suorittaa samalla hiljaisesti koodia varmistaakseen pysyvyyden ajoitettujen tehtävien läpi ja varastaakseen järjestelmätietoja.
Harhaanjohtavat persoonat ja muokatut ClickFix-variantit
Maaliskuuhun 2025 mennessä Kimsuky tehosti toimiaan esiintymällä korkea-arvoisena Yhdysvaltain kansallisen turvallisuuden virkamiehenä. Uusissa tietojenkalasteluviesteissä oli PDF-tiedosto, jossa oli luettelo tekaistuista kokouskysymyksistä, ja vastaanottajat huijasivat syöttämään "todennuskoodin" päästäkseen käsiksi oletettavasti suojattuun sisältöön. Tämä edustaa muutosta ClickFix-menetelmässä, jossa tekaistujen virheiden korjaamisesta syötetään koodeja, mikä vahvistaa oikeellisuuden illuusiota.
Huhtikuussa 2025 ilmeni uusi variantti, tällä kertaa esiintyen japanilaisena diplomaattina ja viitaten ehdotettuun tapaamiseen Japanin Yhdysvaltain-suurlähettilään kanssa. Hyökkäyksessä käytettiin jälleen Google Docs -houkutusta peittämään hämärretyn PowerShell-komennon suoritus, mikä mahdollisti tietojen vuotamisen ja hyötykuormien käyttöönoton jatkuvan C2-viestinnän kautta.
Väärennettyjen työpaikkaportaalien ja ponnahdusikkunoiden aseistaminen
Monimutkaisemmassa käänteessä Kimsuky alkoi käyttää väärennettyjä verkkosivustoja, jotka jäljittelivät puolustusalan tutkimuksen työpaikkaportaaleja. Nämä sivustot näyttivät tekaistuja työpaikkailmoituksia, joita napsauttamalla avautui ClickFix-tyyppisiä ponnahdusikkunoita, jotka kehottivat käyttäjiä avaamaan Windowsin Suorita-valintaikkunan ja suorittamaan PowerShell-komennon.
Tämä komento ohjasi käyttäjät asentamaan Chrome Remote Desktopin, mikä antoi hyökkääjille täyden etäkäytön SSH:n kautta C2-verkkotunnuksen kida.plusdocs.kro.kr kautta. C2-palvelimen virheellinen määritys paljasti uhrien tietoja, joiden uskotaan olevan peräisin vaarantuneista eteläkorealaisjärjestelmistä. Lisäksi tähän infrastruktuuriin linkitetty kiinalainen IP-osoite sisälsi näppäinpainallusten tallennuslokin ja Proton Drive ZIP -arkiston, joka toimitti BabySharkin monimutkaisen monivaiheisen ketjun kautta.
Viimeaikaiset innovaatiot: Väärennetty CAPTCHA ja AutoIt-käyttöönotto
Niinkin hiljattain kuin kesäkuussa 2025 Kimsuky alkoi hyödyntää väärennettyjä Naver CAPTCHA -vahvistussivuja. Nämä väärennetyt sivut ohjeistivat käyttäjiä liittämään PowerShell-komentoja Suorita-valintaikkunaan, jolloin suoritettiin AutoIt-skripti, joka keräsi arkaluonteisia tietoja. Tämä osoittaa entisestään, että ryhmä käyttää mukautuvasti skriptipohjaisia työkaluja ja sosiaalista manipulointia säilyttääkseen jalansijansa uhriympäristöissä.
Laajenevat tietojenkalastelurintamat: akateeminen naamiointi ja HWP-hyökkäykset
ClickFixin lisäksi Kimsuky on yhdistetty myös akateemiseksi kirjeenvaihdoksi naamioituihin tietojenkalastelukampanjoihin. Nämä sähköpostit näyttävät olevan pyyntöjä tarkistaa tutkimuspaperi ja sisältävät salasanalla suojatun HWP-dokumentin. Avattuaan haitallisen dokumentin se hyödyntää upotettua OLE-objektia PowerShell-skriptin suorittamiseen. Tämä skripti suorittaa yksityiskohtaisen järjestelmän tiedustelun ja ottaa käyttöön AnyDeskin, laillisen etätyöpöytätyökalun, ylläpitääkseen jatkuvaa etäyhteyttä.
Keskeiset tiedot: Taktiikat ja tekniikat yhdellä silmäyksellä
Kimsukyn sosiaalisen manipuloinnin hyökkäykset perustuvat:
- Luotettujen henkilöiden ja instituutioiden (toimittajien, diplomaattien, akateemikkojen) henkilöllisyyden anastus
- Houkuttelutiedostojen (Google Docs, PDF, HWP-dokumentit) käyttö haitallisen toiminnan peittämiseen
- Käyttäjien manipulointi suorittamaan PowerShell-komentoja tekaistujen virheiden, todennuskehotteiden tai CAPTCHA-sivujen avulla
Kampanjan teknisiin tunnusmerkkeihin kuuluvat :
- Pysyvä käyttöoikeus ajoitettujen tehtävien ja etäkäyttöohjelmistojen (AnyDesk, Chrome Remote Desktop) kautta
- BabyShark-haittaohjelman monivaiheinen toimitus
- Skriptipohjaisten automaatiotyökalujen, kuten AutoItin, käyttö
- Infrastruktuurin haavoittuvuuksien hyödyntäminen paljastaa varastettuja uhrien tietoja
Johtopäätös: Jatkuvasti kehittyvä uhka
BabyShark-kampanja havainnollistaa Kimsukyn ketteryyttä sosiaalisen manipuloinnin tekniikoiden kehittämisessä ja laillisten ohjelmistojen ja julkisen infrastruktuurin hyödyntämisessä haitallisiin tarkoituksiin. ClickFix-strategia korostaa, kuinka uhkatoimijat hyödyntävät edelleen ihmisten käyttäytymistä yhtä paljon kuin järjestelmien haavoittuvuuksia. Valppaus, kerrokselliset puolustusstrategiat ja käyttäjien koulutus ovat edelleen ratkaisevan tärkeitä tällaisten hienostuneiden uhkatoimijoiden aiheuttamien riskien lieventämiseksi.
