Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) BabyShark uzbrukuma kampaņa

BabyShark uzbrukuma kampaņa

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši Ziemeļkorejas hakeru grupas Kimsuky pastāvīgus un augošus uzbrukumus, kas izmanto sarežģītu sociālās inženierijas taktiku, kas pazīstama kā ClickFix, lai izplatītu BabyShark ļaunprogrammatūru. Šīs kampaņas ir vērstas pret valsts drošības ekspertiem un izmanto gan cilvēku maldināšanu, gan tehnisko slepenību, lai iegūtu ilgtermiņa piekļuvi upuru sistēmām.

Vēršoties pret ekspertiem ar šķēpa pikšķerēšanas ēsmām

Kimsuky draudu grupa kopš 2025. gada janvāra aktīvi izmanto mērķtiecīgas pikšķerēšanas e-pastus, sākotnēji koncentrējoties uz Dienvidkorejas nacionālās drošības ekspertiem. Uzbrucēji maskējas par likumīga vācu valodas biznesa izdevuma pārstāvjiem un vilina upurus ar viltus interviju pieprasījumiem. Šajos e-pastos ir saites uz ļaunprātīgiem RAR arhīviem, kas, atverot, izvieto Visual Basic skriptu (VBS). Šis skripts palaiž mānošu Google Docs failu, lai izskatītos likumīgs, vienlaikus klusi izpildot kodu, lai nodrošinātu neatlaidību, veicot ieplānotos uzdevumus, un nozagtu sistēmas informāciju.

Maldinošas personas un modificēti ClickFix varianti

Līdz 2025. gada martam Kimsuky pastiprināja savus centienus, uzdodoties par augsta ranga ASV nacionālās drošības amatpersonu. Jaunajos pikšķerēšanas e-pastos bija iekļauts PDF fails ar safabricētu tikšanās jautājumu sarakstu un maldināti adresāti tika mudināti ievadīt “autentifikācijas kodu”, lai piekļūtu it kā drošam saturam. Tas atspoguļo ClickFix metodes maiņu, no viltotu kļūdu labošanas uz kodu ievadīšanu, kas pastiprina leģitimitātes ilūziju.

2025. gada aprīlī parādījās vēl viens variants, šoreiz uzdodoties par Japānas diplomātu un atsaucoties uz ierosinātu tikšanos ar Japānas vēstnieku ASV. Uzbrukumā atkal tika izmantota mānoša Google dokumentu lapa, lai maskētu apmulsinātas PowerShell komandas izpildi, ļaujot turpināt datu eksfiltrāciju un vērtuma izvietošanu, izmantojot pastāvīgu C2 saziņu.

Viltus darba portālu un uznirstošo logu izmantošana kā ieroči

Sarežģītākā pavērsienā Kimsuky sāka izmantot viltotas tīmekļa vietnes, kas atdarināja aizsardzības pētniecības darba portālus. Šajās vietnēs tika rādīti viltoti darba sludinājumi, uz kuriem noklikšķinot, tika aktivizēti ClickFix stila uznirstošie logi, kas mudināja lietotājus atvērt Windows palaišanas dialoglodziņu un izpildīt PowerShell komandu.
Šī komanda lika lietotājiem instalēt Chrome Remote Desktop, piešķirot uzbrucējiem pilnīgu attālo piekļuvi, izmantojot SSH un C2 domēnu kida.plusdocs.kro.kr. Nepareiza C2 servera konfigurācija atklāja neaizsargātus upura datus, kas, domājams, bija iegūti no kompromitētām Dienvidkorejas sistēmām. Turklāt ar šo infrastruktūru saistītajā Ķīnas IP adresē bija taustiņsitienu bloķēšanas žurnāls un Proton Drive ZIP arhīvs, kas piegādāja BabyShark, izmantojot sarežģītu daudzpakāpju ķēdi.

Jaunākās inovācijas: viltota CAPTCHA un AutoIt izvietošana

Vēl tikai 2025. gada jūnijā Kimsuky sāka izmantot viltotas Naver CAPTCHA verifikācijas lapas. Šīs viltotās lapas lika lietotājiem ielīmēt PowerShell komandas dialoglodziņā “Palaišana”, izpildot AutoIt skriptu, kas ieguva sensitīvu informāciju. Tas vēl vairāk demonstrē grupas adaptīvo skriptu rīku un sociālās inženierijas izmantošanu, lai saglabātu savu ietekmi upuru vidē.

Pikšķerēšanas frontes paplašināšanās: akadēmiska maskēšanās un HWP uzbrukumi

Papildus ClickFix, Kimsuky ir saistīts arī ar pikšķerēšanas kampaņām, kas maskētas kā akadēmiska sarakste. Šķiet, ka šie e-pasti ir pieprasījumi pārskatīt pētniecības darbu un ietver ar paroli aizsargātu HWP dokumentu. Pēc atvēršanas ļaunprātīgais dokuments izmanto iegultu OLE objektu, lai palaistu PowerShell skriptu. Šis skripts veic detalizētu sistēmas izlūkošanu un izvieto AnyDesk, likumīgu attālās darbvirsmas rīku, lai uzturētu pastāvīgu attālo piekļuvi.

Galvenie secinājumi: taktika un paņēmieni īsumā

Kimsuky sociālās inženierijas uzbrukumi balstās uz:

  • Uzticamu personu un iestāžu (žurnālistu, diplomātu, akadēmiķu) uzdošanās
  • Mānošu failu (Google dokumentu, PDF failu, HWP dokumentu) izmantošana ļaunprātīgu darbību maskēšanai
  • Lietotāju manipulēšana, lai tie palaistu PowerShell komandas, izmantojot viltus kļūdas, autentifikācijas uzvednes vai CAPTCHA lapas.

Kampaņas tehniskās iezīmes ietver :

  • Pastāvīga piekļuve, izmantojot ieplānotus uzdevumus un attālās piekļuves programmatūru (AnyDesk, Chrome Remote Desktop)
  • BabyShark ļaunprogrammatūras daudzpakāpju piegāde
  • Izmantojot uz skriptiem balstītus automatizācijas rīkus, piemēram, AutoIt
  • Izmantotas infrastruktūras ievainojamības, atklājot nozagtus upuru datus

Secinājums: pastāvīgi mainīgs drauds

“BabyShark” kampaņa ilustrē “Kimsuky” veiklību sociālās inženierijas metožu attīstībā un likumīgas programmatūras un publiskās infrastruktūras izmantošanā ļaunprātīgiem mērķiem. “ClickFix” stratēģija izceļ, kā apdraudējumu dalībnieki turpina izmantot gan cilvēku uzvedību, gan sistēmu ievainojamības. Modrība, daudzslāņu aizsardzības stratēģijas un lietotāju izglītošana joprojām ir izšķiroši svarīgas, lai mazinātu šādu sarežģītu apdraudējumu dalībnieku radītos riskus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,407
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...