Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) BabyShark Attack kampány

BabyShark Attack kampány

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:

Kiberbiztonsági kutatók leleplezték az észak-koreai hackercsoport, a Kimsuky folyamatos és folyamatosan változó támadásait, akik egy kidolgozott, ClickFix néven ismert társadalmi manipulációs taktikát alkalmaznak a BabyShark rosszindulatú program terjesztésére. Ezek a kampányok nemzetbiztonsági szakértőket céloznak meg, és mind az emberi megtévesztést, mind a technikai lopakodást kihasználva hosszú távú hozzáférést szereznek az áldozatok rendszereihez.

Szakértők célzása adathalász csalikkal

A Kimsuky nevű fenyegetéscsoport 2025 januárja óta aktívan használ adathalász e-maileket, kezdetben dél-koreai nemzetbiztonsági szakértőkre összpontosítva. A támadók egy legitim német nyelvű üzleti magazin képviselőinek adják ki magukat, és hamis interjúkérésekkel csábítják az áldozatokat. Ezek az e-mailek rosszindulatú RAR archívumokra mutató linkeket tartalmaznak, amelyek megnyitás után egy Visual Basic Script (VBS) szkriptet telepítenek. Ez a szkript egy álca Google Docs fájlt indít el, hogy legitimnek tűnjön, miközben csendben kódot futtat, hogy ütemezett feladatokon keresztül megőrizze az illegális hozzáférést és ellopja a rendszerinformációkat.

Megtévesztő személyek és módosított ClickFix variánsok

2025 márciusára a Kimsuky fokozta erőfeszítéseit azzal, hogy egy magas rangú amerikai nemzetbiztonsági tisztviselőnek adta ki magát. Az új adathalász e-mailek egy kitalált találkozókérdések listáját tartalmazó PDF-et tartalmaztak, és a címzetteket egy „hitelesítési kód” megadására kényszerítették a feltételezetten biztonságos tartalom eléréséhez. Ez a ClickFix módszertanban elmozdulást jelent, a hamis hibák javításától a kódok beírása felé, fokozva a legitimitás illúzióját.

2025 áprilisában egy másik változat is felbukkant, ezúttal egy japán diplomata személyazonosságát adták ki, és egy tervezett találkozóra hivatkoztak a japán amerikai nagykövettel. A támadás ismét egy ál-Google Dokumentumok oldalt használt egy elferdített PowerShell parancs végrehajtásának elfedésére, lehetővé téve a folyamatos adatlopást és a hasznos adatok telepítését a perzisztens C2 kommunikáción keresztül.

Hamis állásportálok és felugró ablakok fegyverként való használata

Egy bonyolultabb csavarral Kimsuky hamis weboldalakat kezdett használni, amelyek védelmi kutatói állásportáloknak adtak ki magukat. Ezek az oldalak hamis álláshirdetéseket jelenítettek meg, amelyekre kattintva ClickFix-stílusú felugró ablakok jelentek meg, amelyek a Windows Futtatás párbeszédpanel megnyitására és egy PowerShell parancs végrehajtására sürgették a felhasználókat.
Ez a parancs a Chrome Remote Desktop telepítésére utasította a felhasználókat, teljes távoli hozzáférést biztosítva a támadóknak SSH-n keresztül a kida.plusdocs.kro.kr C2 domainen keresztül. A C2 szerver hibás konfigurációja feltárta az áldozat adatainak nyilvánosságra kerülését, amelyek feltehetően feltört dél-koreai rendszerekből származnak. Ezenkívül egy ehhez az infrastruktúrához kapcsolt kínai IP-cím egy billentyűnaplózási naplót és egy Proton Drive ZIP archívumot tartalmazott, amely egy összetett, többlépcsős láncon keresztül juttatta el a BabySharkot.

Legújabb újítások: Hamis CAPTCHA és AutoIt telepítés

A Kimsuky még 2025 júniusában elkezdte kihasználni a hamis Naver CAPTCHA ellenőrző oldalakat. Ezek a hamis oldalak arra utasították a felhasználókat, hogy illesszenek be PowerShell parancsokat a Futtatás párbeszédpanelbe, egy AutoIt szkriptet futtatva, amely érzékeny információkat gyűjtött. Ez tovább mutatja, hogy a csoport adaptívan használja a szkript-alapú eszközöket és a társadalmi manipulációt, hogy megtartsa a lábát az áldozati környezetekben.

Terjeszkedő adathalász frontok: Akadémiai álcázás és HWP-támadások

A ClickFixen kívül a Kimsukyt tudományos levelezésnek álcázott adathalász kampányokhoz is kötik. Ezek az e-mailek egy kutatási dolgozat áttekintésére irányuló felkéréseknek tűnnek, és egy jelszóval védett HWP dokumentumot tartalmaznak. Megnyitás után a rosszindulatú dokumentum egy beágyazott OLE objektumot használ egy PowerShell szkript futtatásához. Ez a szkript részletes rendszerfelderítést végez, és az AnyDesk-et, egy legitim távoli asztali eszközt telepíti a folyamatos távoli hozzáférés fenntartása érdekében.

Főbb tudnivalók: taktikák és technikák áttekintése

Kimsuky szociális manipulációs támadásai a következőkre épülnek:

  • Megbízható személyek és intézmények (újságírók, diplomaták, tudósok) megszemélyesítése
  • Csali fájlok (Google Dokumentumok, PDF-ek, HWP dokumentumok) használata a rosszindulatú tevékenységek elfedésére
  • Felhasználók manipulálása PowerShell-parancsok futtatására hamis hibák, hitelesítési kérdések vagy CAPTCHA-oldalak segítségével

A kampány technikai jellemzői a következők :

  • Állandó hozzáférés ütemezett feladatokon és távoli elérésű szoftvereken (AnyDesk, Chrome Remote Desktop) keresztül
  • A BabyShark rosszindulatú program többlépcsős terjedése
  • Szkriptalapú automatizálási eszközök, például az AutoIt használata
  • Kihasznált infrastruktúra sebezhetőségek, amelyek felfedik az ellopott áldozati adatokat

Konklúzió: Egy folyamatosan változó fenyegetés

A BabyShark kampány jól mutatja a Kimsuky rugalmasságát a társadalmi manipuláció technikáinak fejlesztésében, valamint a legitim szoftverek és a nyilvános infrastruktúra rosszindulatú célokra való felhasználásában. A ClickFix stratégia rávilágít arra, hogy a fenyegető szereplők hogyan használják ki továbbra is az emberi viselkedést és a rendszer sebezhetőségeit. Az éberség, a rétegzett védelmi stratégiák és a felhasználók oktatása továbbra is kulcsfontosságú az ilyen kifinomult fenyegető szereplők által jelentett kockázatok enyhítéséhez.

Felkapott

Legnézettebb

Betöltés...