Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) „BabyShark Attack“ kampanija

„BabyShark Attack“ kampanija

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa
Versti į:

Kibernetinio saugumo tyrėjai atskleidė Šiaurės Korėjos programišių grupės „Kimsuky“ vykdomas ir besivystančias atakas, kurios naudoja sudėtingą socialinės inžinerijos taktiką, vadinamą „ClickFix“, kad platintų kenkėjišką programą „BabyShark“. Šios kampanijos nukreiptos į nacionalinio saugumo ekspertus ir naudoja tiek žmonių apgaulę, tiek technines slaptas technologijas, kad gautų ilgalaikę prieigą prie aukos sistemų.

Taikymasis į ekspertus naudojant masalus, skirtus sukčiavimui ietimi

„Kimsuky“ grėsmių grupuotė nuo 2025 m. sausio mėn. aktyviai siunčia tikslinius sukčiavimo el. laiškus, iš pradžių daugiausia dėmesio skirdama Pietų Korėjos nacionalinio saugumo ekspertams. Užpuolikai apsimeta teisėto vokiečių kalba leidžiamo verslo leidinio atstovais ir vilioja aukas netikromis interviu užklausomis. Šiuose el. laiškuose yra nuorodų į kenkėjiškus RAR archyvus, kuriuos atidarius, paleidžiamas „Visual Basic Script“ (VBS). Šis scenarijus paleidžia masalų „Google Docs“ failą, kad atrodytų teisėtas, tuo pačiu tyliai vykdydamas kodą, kad užtikrintų sistemos duomenų saugumą atliekant suplanuotas užduotis ir pavogdamas sistemos informaciją.

Apgaulingi personažai ir modifikuoti „ClickFix“ variantai

Iki 2025 m. kovo mėn. „Kimsuky“ suintensyvino savo pastangas apsimetinėdama aukšto rango JAV nacionalinio saugumo pareigūnu. Naujuose sukčiavimo el. laiškuose buvo PDF failas su sufabrikuotų susitikimo klausimų sąrašu ir apgaule gavėjai buvo priversti įvesti „autentifikavimo kodą“, kad galėtų pasiekti tariamai saugų turinį. Tai rodo „ClickFix“ metodo pokytį – nuo netikrų klaidų taisymo prie kodų įvedimo, taip sustiprinant teisėtumo iliuziją.

2025 m. balandžio mėn. pasirodė dar vienas variantas, šį kartą apsimetinėjant Japonijos diplomatu ir užsimenant apie siūlomą susitikimą su Japonijos ambasadoriumi JAV. Ataka vėl panaudojo masalų „Google Docs“ puslapį, kad užmaskuotų užmaskuotos „PowerShell“ komandos vykdymą, leisdama toliau nutekinti duomenis ir diegti naudingąją apkrovą per nuolatinį C2 ryšį.

Netikrų darbo portalų ir iššokančių langų pavertimas ginklais

Dar sudėtingesniame etape Kimsuky pradėjo naudoti netikras svetaines, apsimetinėjančias gynybos tyrimų darbo portalais. Šiose svetainėse buvo rodomi netikri darbo skelbimai, kuriuos spustelėjus atsirasdavo „ClickFix“ stiliaus iššokantys langai, raginantys vartotojus atidaryti „Windows“ vykdymo dialogą ir vykdyti „PowerShell“ komandą.
Ši komanda nurodė vartotojams įdiegti „Chrome Remote Desktop“, suteikdama užpuolikams visišką nuotolinę prieigą per SSH per C2 domeną kida.plusdocs.kro.kr. Netinkama C2 serverio konfigūracija atskleidė paviešintus aukos duomenis, kurie, kaip manoma, buvo gauti iš pažeistų Pietų Korėjos sistemų. Be to, su šia infrastruktūra susietame Kinijos IP adrese buvo klavišų paspaudimų registravimo žurnalas ir „Proton Drive“ ZIP archyvas, per kurį „BabyShark“ buvo perduotas sudėtinga daugiapakopė grandine.

Naujausios naujovės: netikra CAPTCHA ir „AutoIt“ diegimas

Dar 2025 m. birželį „Kimsuky“ pradėjo naudoti netikrus „Naver CAPTCHA“ patvirtinimo puslapius. Šiuose netikrose puslapiuose buvo nurodoma vartotojams įklijuoti „PowerShell“ komandas į „Vykdyti“ dialogo langą, taip vykdant „AutoIt“ scenarijų, kuris rinko slaptą informaciją. Tai dar kartą parodo, kad grupė prisitaikė prie scenarijų pagrindu veikiančių įrankių ir socialinės inžinerijos naudojimo, siekdama išlaikyti savo pozicijas aukomis tapusiose aplinkose.

Plėtojami sukčiavimo frontai: akademinis maskavimas ir HWP atakos

Be „ClickFix“, „Kimsuky“ taip pat buvo siejamas su sukčiavimo kampanijomis, užmaskuotomis kaip akademinė korespondencija. Šie el. laiškai atrodo kaip prašymai peržiūrėti mokslinį darbą ir į juos įtrauktas slaptažodžiu apsaugotas HWP dokumentas. Atidarius kenkėjišką dokumentą, jis panaudoja įterptąjį OLE objektą, kad paleistų „PowerShell“ scenarijų. Šis scenarijus atlieka išsamią sistemos žvalgybą ir įdiegia „AnyDesk“ – teisėtą nuotolinio darbalaukio įrankį, kad palaikytų nuolatinę nuotolinę prieigą.

Svarbiausios išvados: taktika ir metodai trumpai

Kimsuky socialinės inžinerijos atakos remiasi:

  • Apsimetinėjimas patikimais asmenimis ir institucijomis (žurnalistais, diplomatais, akademikais)
  • Masalų failų („Google“ dokumentų, PDF, HWP dokumentų) naudojimas kenkėjiškai veiklai užmaskuoti
  • Vartotojų manipuliavimas, siekiant priversti juos vykdyti „PowerShell“ komandas naudojant netikras klaidas, autentifikavimo raginimus arba CAPTCHA puslapius.

Techniniai kampanijos bruožai apima :

  • Nuolatinė prieiga per suplanuotas užduotis ir nuotolinės prieigos programinę įrangą („AnyDesk“, „Chrome Remote Desktop“)
  • Daugiapakopis „BabyShark“ kenkėjiškos programos platinimas
  • Scenarijų pagrindu sukurtų automatizavimo įrankių, tokių kaip „AutoIt“, naudojimas
  • Išnaudoti infrastruktūros pažeidžiamumai, atskleidžiantys pavogtus aukų duomenis

Išvada: nuolat besikeičianti grėsmė

„BabyShark“ kampanija iliustruoja „Kimsuky“ lankstumą tobulinant socialinės inžinerijos metodus ir naudojant teisėtą programinę įrangą bei viešąją infrastruktūrą kenkėjiškiems tikslams. „ClickFix“ strategija pabrėžia, kaip grėsmių kūrėjai ir toliau išnaudoja tiek žmonių elgesį, tiek sistemų pažeidžiamumus. Budrumas, daugiasluoksnės gynybos strategijos ir vartotojų švietimas išlieka labai svarbūs siekiant sušvelninti tokių sudėtingų grėsmių kūrėjų keliamą riziką.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,407
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...