BabyShark Attack Campaign

साइबर सुरक्षा शोधकर्ताओं ने उत्तर कोरियाई हैकर समूह किमसुकी द्वारा लगातार किए जा रहे और विकसित हो रहे हमलों का खुलासा किया है, जो बेबीशार्क मैलवेयर फैलाने के लिए क्लिकफिक्स नामक एक विस्तृत सोशल इंजीनियरिंग रणनीति का उपयोग कर रहे हैं। ये अभियान राष्ट्रीय सुरक्षा विशेषज्ञों को निशाना बनाते हैं और पीड़ित सिस्टम तक दीर्घकालिक पहुंच प्राप्त करने के लिए मानवीय धोखे और तकनीकी चुपके दोनों का लाभ उठाते हैं।

स्पीयर-फिशिंग लालच के साथ विशेषज्ञों को निशाना बनाना

किमसुकी खतरा समूह जनवरी 2025 से सक्रिय रूप से स्पीयर-फ़िशिंग ईमेल तैनात कर रहा है, जिसका आरंभिक लक्ष्य दक्षिण कोरियाई राष्ट्रीय सुरक्षा विशेषज्ञ हैं। हमलावर एक वैध जर्मन-भाषा व्यवसाय प्रकाशन के प्रतिनिधि के रूप में खुद को पेश करते हैं और पीड़ितों को नकली साक्षात्कार अनुरोधों के साथ लुभाते हैं। इन ईमेल में दुर्भावनापूर्ण RAR अभिलेखागार के लिंक होते हैं, जिन्हें खोलने के बाद, एक विज़ुअल बेसिक स्क्रिप्ट (VBS) तैनात की जाती है। यह स्क्रिप्ट वैध दिखने के लिए एक फ़र्जी Google डॉक्स फ़ाइल लॉन्च करती है, जबकि शेड्यूल किए गए कार्यों के माध्यम से दृढ़ता स्थापित करने और सिस्टम की जानकारी चुराने के लिए चुपचाप कोड निष्पादित करती है।

भ्रामक व्यक्तित्व और संशोधित ClickFix वेरिएंट

मार्च 2025 तक, किमसुकी ने एक उच्च रैंकिंग वाले अमेरिकी राष्ट्रीय सुरक्षा अधिकारी का रूप धारण करके अपने प्रयासों को आगे बढ़ाया। नए फ़िशिंग ईमेल में एक पीडीएफ दिखाया गया था जिसमें बैठक के सवालों की एक सूची थी और प्राप्तकर्ताओं को कथित सुरक्षित सामग्री तक पहुँचने के लिए 'प्रमाणीकरण कोड' दर्ज करने के लिए प्रेरित किया गया था। यह क्लिकफ़िक्स पद्धति में बदलाव का प्रतिनिधित्व करता है, जिसमें नकली त्रुटियों को ठीक करने से लेकर कोड दर्ज करने तक, वैधता के भ्रम को बढ़ाया जाता है।

अप्रैल 2025 में, एक और प्रकार सामने आया, इस बार एक जापानी राजनयिक का रूप धारण करते हुए और अमेरिका में जापानी राजदूत के साथ प्रस्तावित बैठक का संदर्भ देते हुए, हमले में फिर से एक नकली गूगल डॉक्स पृष्ठ का उपयोग किया गया, ताकि एक अस्पष्ट पावरशेल कमांड के निष्पादन को छुपाया जा सके, जिससे लगातार C2 संचार के माध्यम से डेटा एक्सफिलट्रेशन और पेलोड परिनियोजन जारी रहे।

फर्जी जॉब पोर्टल और पॉप-अप को हथियार बनाना

एक और विस्तृत मोड़ में, किमसुकी ने रक्षा अनुसंधान नौकरी पोर्टलों का प्रतिरूपण करने वाली नकली वेबसाइटों का उपयोग करना शुरू कर दिया। इन साइटों ने फर्जी नौकरी लिस्टिंग प्रदर्शित की, जिस पर क्लिक करने पर, ClickFix-शैली के पॉप-अप ट्रिगर हुए, जो उपयोगकर्ताओं को विंडोज रन डायलॉग खोलने और एक PowerShell कमांड निष्पादित करने के लिए प्रेरित करते थे।
इस कमांड ने उपयोगकर्ताओं को क्रोम रिमोट डेस्कटॉप स्थापित करने का निर्देश दिया, जिससे हमलावरों को C2 डोमेन kida.plusdocs.kro.kr के माध्यम से SSH के माध्यम से पूर्ण रिमोट एक्सेस मिल गया। C2 सर्वर पर एक गलत कॉन्फ़िगरेशन ने उजागर पीड़ित डेटा को प्रकट किया, माना जाता है कि यह समझौता किए गए दक्षिण कोरियाई सिस्टम से आया था। इसके अतिरिक्त, इस बुनियादी ढांचे से जुड़े एक चीनी आईपी में एक कीलॉगिंग लॉग और एक प्रोटॉन ड्राइव ज़िप संग्रह था जो एक जटिल मल्टी-स्टेज चेन के माध्यम से बेबीशार्क को वितरित करता था।

हालिया नवाचार: नकली कैप्चा और ऑटोइट परिनियोजन

जून 2025 में ही किमसुकी ने फर्जी नैवर कैप्चा सत्यापन पृष्ठों का शोषण करना शुरू कर दिया था। इन फर्जी पृष्ठों ने उपयोगकर्ताओं को रन डायलॉग में पॉवरशेल कमांड पेस्ट करने का निर्देश दिया, जिससे एक ऑटोइट स्क्रिप्ट निष्पादित हुई जिसने संवेदनशील जानकारी एकत्र की। यह आगे चलकर पीड़ित वातावरण में अपनी पकड़ बनाए रखने के लिए स्क्रिप्ट-आधारित उपकरणों और सामाजिक इंजीनियरिंग के समूह के अनुकूली उपयोग को दर्शाता है।

फ़िशिंग मोर्चों का विस्तार: शैक्षणिक छद्मवेश और HWP हमले

ClickFix से परे, किमसुकी को अकादमिक पत्राचार के रूप में प्रच्छन्न फ़िशिंग अभियानों से भी जोड़ा गया है। ये ईमेल एक शोध पत्र की समीक्षा करने के अनुरोध प्रतीत होते हैं और इसमें पासवर्ड से सुरक्षित HWP दस्तावेज़ शामिल होता है। एक बार खोले जाने पर, दुर्भावनापूर्ण दस्तावेज़ PowerShell स्क्रिप्ट चलाने के लिए एक एम्बेडेड OLE ऑब्जेक्ट का लाभ उठाता है। यह स्क्रिप्ट विस्तृत सिस्टम टोही का संचालन करती है और लगातार रिमोट एक्सेस बनाए रखने के लिए AnyDesk, एक वैध रिमोट डेस्कटॉप टूल को तैनात करती है।

मुख्य बातें: रणनीति और तकनीक पर एक नज़र

किमसुकी के सामाजिक इंजीनियरिंग हमले इस पर निर्भर करते हैं:

• विश्वसनीय व्यक्तियों और संस्थाओं (पत्रकार, राजनयिक, शिक्षाविद) का प्रतिरूपण करना
• दुर्भावनापूर्ण गतिविधि को छिपाने के लिए फ़र्जी फ़ाइलों (गूगल डॉक्स, पीडीएफ़, एचडब्ल्यूपी दस्तावेज़) का उपयोग
• फर्जी त्रुटियों, प्रमाणीकरण संकेतों या कैप्चा पृष्ठों के माध्यम से उपयोगकर्ताओं को PowerShell कमांड चलाने के लिए प्रेरित करना

अभियान की तकनीकी विशेषताओं में शामिल हैं :

• निर्धारित कार्यों और रिमोट एक्सेस सॉफ़्टवेयर (AnyDesk, Chrome रिमोट डेस्कटॉप) के माध्यम से लगातार एक्सेस
• बेबीशार्क मैलवेयर की बहु-चरणीय डिलीवरी
• ऑटोइट जैसे स्क्रिप्ट-आधारित स्वचालन उपकरणों का उपयोग
• अवसंरचना की कमजोरियों का दोहन कर चुराए गए पीड़ितों के डेटा को उजागर करना

निष्कर्ष: एक निरंतर विकसित होने वाला खतरा

बेबीशार्क अभियान किमसुकी की अपनी सामाजिक इंजीनियरिंग तकनीकों को विकसित करने और दुर्भावनापूर्ण उद्देश्यों के लिए वैध सॉफ़्टवेयर और सार्वजनिक बुनियादी ढांचे का लाभ उठाने में चपलता को दर्शाता है। क्लिकफ़िक्स रणनीति इस बात पर प्रकाश डालती है कि कैसे ख़तरा पैदा करने वाले लोग सिस्टम की कमज़ोरियों के साथ-साथ मानवीय व्यवहार का भी फ़ायदा उठाते रहते हैं। सतर्कता, स्तरित रक्षा रणनीतियाँ और उपयोगकर्ता शिक्षा ऐसे परिष्कृत ख़तरा पैदा करने वाले लोगों द्वारा उत्पन्न जोखिमों को कम करने के लिए महत्वपूर्ण हैं।