Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Kampanja napada BabySharka

Kampanja napada BabySharka

Do Mezo. Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su kontinuirane i promjenjive napade sjevernokorejske hakerske skupine Kimsuky, koja koristi razrađenu taktiku društvenog inženjeringa poznatu kao ClickFix za širenje zlonamjernog softvera BabyShark. Ove kampanje usmjerene su na stručnjake za nacionalnu sigurnost i koriste i ljudsku obmanu i tehničku prikrivenost kako bi dobili dugoročni pristup sustavima žrtve.

Ciljanje stručnjaka mamacima za krađu identiteta

Grupa za prijetnje Kimsuky aktivno širi spear-phishing e-poruke od siječnja 2025., u početku se fokusirajući na južnokorejske stručnjake za nacionalnu sigurnost. Napadači se maskiraju kao predstavnici legitimne poslovne publikacije na njemačkom jeziku i mame žrtve lažnim zahtjevima za intervju. Ove e-poruke sadrže poveznice na zlonamjerne RAR arhive koje, nakon otvaranja, implementiraju Visual Basic Script (VBS). Ova skripta pokreće lažnu datoteku Google dokumenata kako bi izgledala legitimno, a istovremeno tiho izvršava kod kako bi uspostavila postojanost kroz zakazane zadatke i ukrala sistemske informacije.

Obmanjujuće persone i modificirane varijante ClickFixa

Do ožujka 2025., Kimsuky je pojačao svoje napore lažnim predstavljanjem kao visokopozicionirani američki dužnosnik nacionalne sigurnosti. Nove phishing e-poruke sadržavale su PDF s popisom izmišljenih pitanja za sastanak i prevarile primatelje da unesu 'autentifikacijski kod' za pristup navodno sigurnom sadržaju. To predstavlja promjenu u ClickFix metodi, od ispravljanja lažnih pogrešaka do unosa kodova, pojačavajući iluziju legitimnosti.

U travnju 2025. pojavila se još jedna varijanta, ovaj put lažno predstavljajući japanskog diplomata i referirajući se na predloženi sastanak s japanskim veleposlanikom u SAD-u. Napad je ponovno koristio lažnu stranicu Google dokumenata kako bi prikrio izvršavanje obfusirane PowerShell naredbe, omogućujući nastavak izvlačenja podataka i implementaciju korisnog tereta putem trajne C2 komunikacije.

Korištenje lažnih portala za zapošljavanje i skočnih prozora kao oružja

U složenijem obratu, Kimsuky je počeo koristiti lažne web stranice koje su se lažno predstavljale kao portali za poslove u obrambenim istraživanjima. Te su stranice prikazivale lažne popise poslova koji su, kada se na njih klikne, pokretali skočne prozore u stilu ClickFixa koji su pozivali korisnike da otvore dijalog Pokreni u sustavu Windows i izvrše PowerShell naredbu.
Ova je naredba uputila korisnike da instaliraju Chrome Remote Desktop, dajući napadačima potpuni udaljeni pristup putem SSH-a preko C2 domene kida.plusdocs.kro. Pogrešna konfiguracija na C2 poslužitelju otkrila je izložene podatke žrtve za koje se vjeruje da potječu iz kompromitiranih južnokorejskih sustava. Osim toga, kineska IP adresa povezana s ovom infrastrukturom sadržavala je zapisnik o keyloggu i ZIP arhivu Proton Drivea koja je isporučivala BabyShark kroz složeni višestupanjski lanac.

Nedavne inovacije: Lažni CAPTCHA i implementacija AutoIt-a

Tek u lipnju 2025., Kimsuky je počeo iskorištavati lažne Naver CAPTCHA stranice za provjeru. Ove lažne stranice upućivale su korisnike da zalijepe PowerShell naredbe u dijalog Pokreni, izvršavajući AutoIt skriptu koja je prikupljala osjetljive podatke. To dodatno pokazuje prilagodljivu upotrebu alata temeljenih na skriptama i socijalnog inženjeringa od strane grupe kako bi održala svoje uporište u okruženjima žrtava.

Širenje phishing frontova: Akademska maska i HWP napadi

Osim ClickFixa, Kimsuky je također povezan s phishing kampanjama prikrivenim kao akademska korespondencija. Čini se da su ove e-poruke zahtjevi za pregled istraživačkog rada i uključuju HWP dokument zaštićen lozinkom. Nakon otvaranja, zlonamjerni dokument koristi ugrađeni OLE objekt za pokretanje PowerShell skripte. Ova skripta provodi detaljno izviđanje sustava i implementira AnyDesk, legitimni alat za udaljenu radnu površinu, kako bi održao trajni udaljeni pristup.

Ključne informacije: Taktike i tehnike ukratko

Kimsukyjevi napadi društvenim inženjeringom oslanjaju se na:

  • Lažno predstavljanje kao pouzdane osobe i institucije (novinari, diplomati, akademici)
  • Korištenje lažnih datoteka (Google dokumenti, PDF-ovi, HWP dokumenti) za maskiranje zlonamjernih aktivnosti
  • Manipulacija korisnika da pokrenu PowerShell naredbe putem lažnih pogrešaka, upita za autentifikaciju ili CAPTCHA stranica

Tehničke značajke kampanje uključuju :

  • Trajni pristup putem zakazanih zadataka i softvera za udaljeni pristup (AnyDesk, Chrome Remote Desktop)
  • Višefazna isporuka zlonamjernog softvera BabyShark
  • Korištenje alata za automatizaciju temeljenih na skriptama poput AutoIt-a
  • Iskorištavanje ranjivosti infrastrukture koje otkrivaju ukradene podatke žrtve

Zaključak: Prijetnja koja se stalno razvija

Kampanja BabyShark ilustrira Kimsukyjevu agilnost u razvijanju tehnika društvenog inženjeringa i iskorištavanju legitimnog softvera i javne infrastrukture u zlonamjerne svrhe. Strategija ClickFix ističe kako akteri prijetnji nastavljaju iskorištavati ljudsko ponašanje koliko i ranjivosti sustava. Budnost, višeslojne obrambene strategije i edukacija korisnika ostaju ključni za ublažavanje rizika koje predstavljaju takvi sofisticirani akteri prijetnji.

U trendu

Nagledanije

Učitavam...