BabyShark Attack Campaign

חוקרי אבטחת סייבר חשפו התקפות מתמשכות ומתפתחות מצד קבוצת ההאקרים הצפון קוריאנית קימסוקי, המשתמשת בטקטיקת הנדסה חברתית מורכבת המכונה ClickFix כדי להפיץ את הנוזקה BabyShark. קמפיינים אלה מכוונים נגד מומחי ביטחון לאומי ומנצלים הן הטעיה אנושית והן חמקנות טכנית כדי לקבל גישה ארוכת טווח למערכות הקורבנות.

מיקוד במומחים באמצעות פיתיונות חנית-פישינג

קבוצת האיומים קימסוקי פורסת באופן פעיל אימיילים מסוג "פישינג" מאז ינואר 2025, כשהיא מתמקדת בתחילה במומחי ביטחון לאומי דרום קוריאניים. התוקפים מתחזים לנציגים של פרסום עסקי לגיטימי בשפה הגרמנית ומפתים את הקורבנות באמצעות בקשות לראיונות מזויפים. אימיילים אלה מכילים קישורים לארכיוני RAR זדוניים, אשר לאחר פתיחתם פורסים סקריפט Visual Basic (VBS). סקריפט זה מפעיל קובץ Google Docs מטעה כדי להיראות לגיטימי, תוך ביצוע קוד בשקט כדי לבסס עמידות במשימות מתוזמנות ולגנוב מידע מערכת.

פרסונות מטעות וגרסאות ClickFix שעברו שינוי

עד מרץ 2025, קימסוקי הגבירה את מאמציה על ידי התחזות לפקיד ביטחון לאומי בכיר בארה"ב. הודעות הדוא"ל החדשות של פישינג כללו קובץ PDF עם רשימה של שאלות מפוברקות לפגישה והטעו את הנמענים להזין "קוד אימות" כדי לגשת לתוכן כביכול מאובטח. זה מייצג שינוי בשיטת ClickFix, מתיקון שגיאות מזויפות להזנת קודים, מה שמגביר את אשליית הלגיטימיות.

באפריל 2025, צצה גרסה נוספת, הפעם התחזות לדיפלומט יפני והתייחסות לפגישה מוצעת עם שגריר יפן בארה"ב. ההתקפה שוב השתמשה בדף Google Docs מטעה כדי להסוות את ביצוע פקודת PowerShell מעורפלת, מה שאפשר המשך חילוץ נתונים ופריסת מטען באמצעות תקשורת C2 מתמשכת.

שימוש בפורטלים וחלונות קופצים מזויפים של דרושים כנשק

בפיתול מורכב יותר, קימסוקי החל להשתמש באתרי אינטרנט מזויפים שהתחזו לפורטלים של משרות מחקר בתחום הביטחון. אתרים אלה הציגו מודעות משרות מזויפות, אשר כאשר לחצו עליהן, הפעילו חלונות קופצים בסגנון ClickFix שדחקו במשתמשים לפתוח את תיבת הדו-שיח 'הפעלה' של Windows ולבצע פקודת PowerShell.
פקודה זו הורתה למשתמשים להתקין את Chrome Remote Desktop, מה שמאפשר לתוקפים גישה מרחוק מלאה באמצעות SSH דרך הדומיין C2 kida.plusdocs.kro.kr. שגיאת תצורה בשרת C2 חשפה נתוני קורבנות חשופים, שמקורם ככל הנראה במערכות דרום קוריאניות שנפרצו. בנוסף, כתובת IP סינית המקושרת לתשתית זו הכילה יומן רישום מקשים וארכיון ZIP של Proton Drive שהעביר את BabyShark דרך שרשרת מורכבת רב-שלבית.

חידושים אחרונים: פריסת CAPTCHA מזויפת ו-AutoIt

לאחרונה ביוני 2025, החלה קימסוקי לנצל דפי אימות מזויפים של Naver CAPTCHA. דפים מזויפים אלה הורו למשתמשים להדביק פקודות PowerShell בתיבת הדו-שיח Run, ובכך להפעיל סקריפט AutoIt שאסף מידע רגיש. זה מדגים עוד יותר את השימוש האדפטיבי של הקבוצה בכלים מבוססי סקריפטים ובהנדסה חברתית כדי לשמור על אחיזה בסביבות קורבנות.

הרחבת חזיתות פישינג: תחפושות אקדמיות והתקפות HWP

מעבר ל-ClickFix, קימסוקי נקשר גם לקמפיינים של פישינג במסווה של התכתבות אקדמית. נראה כי מיילים אלה הם בקשות לעיון במאמר מחקר וכוללים מסמך HWP המוגן בסיסמה. לאחר פתיחתו, המסמך הזדוני מנצל אובייקט OLE מוטמע כדי להפעיל סקריפט PowerShell. סקריפט זה מבצע סיור מערכת מפורט ופורס את AnyDesk, כלי שולחן עבודה מרוחק לגיטימי, כדי לשמור על גישה מרחוק מתמשכת.

נקודות מפתח: טקטיקות וטכניקות במבט חטוף

התקפות ההנדסה החברתית של קימסוקי מסתמכות על:

• התחזות של דמויות ומוסדות מהימנים (עיתונאים, דיפלומטים, אנשי אקדמיה)
• שימוש בקבצי פיתיון (Google Docs, קבצי PDF, מסמכי HWP) כדי להסוות פעילות זדונית
• מניפולציה של משתמשים להפעיל פקודות PowerShell באמצעות שגיאות מזויפות, בקשות אימות או דפי CAPTCHA

המאפיינים הטכניים של הקמפיין כוללים :

• גישה מתמדת באמצעות משימות מתוזמנות ותוכנות גישה מרחוק (AnyDesk, Chrome Remote Desktop)
• אספקה רב-שלבית של תוכנה זדונית BabyShark
• שימוש בכלי אוטומציה מבוססי סקריפטים כמו AutoIt
• ניצול פגיעויות תשתית שחושפות נתוני קורבנות גנובים

סיכום: איום מתפתח ללא הרף

קמפיין BabyShark ממחיש את הזריזות של Kimsuky בפיתוח טכניקות ההנדסה החברתית שלה ובמינוף תוכנות לגיטימיות ותשתיות ציבוריות למטרות זדוניות. אסטרטגיית ClickFix מדגישה כיצד גורמי איום ממשיכים לנצל התנהגות אנושית באותה מידה כמו פגיעויות מערכת. ערנות, אסטרטגיות הגנה מרובדות וחינוך משתמשים נותרו חיוניים להפחתת הסיכונים שמציבים גורמי איום מתוחכמים כאלה.