Kempen Serangan BabyShark

Penyelidik keselamatan siber telah menemui serangan berterusan dan berkembang oleh kumpulan penggodam Korea Utara Kimsuky, yang menggunakan taktik kejuruteraan sosial yang terperinci dikenali sebagai ClickFix untuk menyebarkan perisian hasad BabyShark. Kempen ini menyasarkan pakar keselamatan negara dan memanfaatkan kedua-dua penipuan manusia dan kesembunyian teknikal untuk mendapatkan akses jangka panjang kepada sistem mangsa.

Menyasarkan Pakar dengan Gewang Pemancingan Lembing

Kumpulan ancaman Kimsuky telah secara aktif menggunakan e-mel spear-phishing sejak Januari 2025, pada mulanya memfokuskan kepada pakar keselamatan negara Korea Selatan. Penyerang menyamar sebagai wakil daripada penerbitan perniagaan berbahasa Jerman yang sah dan memikat mangsa dengan permintaan temu duga palsu. E-mel ini mengandungi pautan ke arkib RAR berniat jahat, yang, setelah dibuka, menggunakan Skrip Asas Visual (VBS). Skrip ini melancarkan fail Google Docs untuk kelihatan sah sambil melaksanakan kod secara senyap-senyap untuk mewujudkan kegigihan melalui tugas yang dijadualkan dan mencuri maklumat sistem.

Persona Menipu dan Varian ClickFix yang Diubah Suai

Menjelang Mac 2025, Kimsuky meningkatkan usahanya dengan menyamar sebagai pegawai keselamatan negara AS berpangkat tinggi. E-mel pancingan data baharu menampilkan PDF dengan senarai soalan mesyuarat yang direka dan memperdaya penerima untuk memasukkan 'kod pengesahan' untuk mengakses kandungan yang sepatutnya selamat. Ini mewakili peralihan dalam kaedah ClickFix, daripada membetulkan ralat palsu kepada memasukkan kod, meningkatkan ilusi kesahihan.

Pada April 2025, varian lain muncul, kali ini menyamar sebagai diplomat Jepun dan merujuk cadangan mesyuarat dengan duta Jepun ke AS. Serangan itu sekali lagi menggunakan halaman Google Docs untuk menyembunyikan pelaksanaan perintah PowerShell yang dikaburkan, membenarkan penyusupan data berterusan dan penggunaan muatan melalui komunikasi C2 yang berterusan.

Mempersenjatai Portal Kerja Palsu dan Pop-Up

Dalam sentuhan yang lebih terperinci, Kimsuky mula menggunakan laman web palsu yang menyamar sebagai portal kerja penyelidikan pertahanan. Tapak ini memaparkan senarai kerja palsu yang, apabila diklik, mencetuskan pop timbul gaya ClickFix yang menggesa pengguna untuk membuka dialog Windows Run dan melaksanakan perintah PowerShell.
Perintah ini mengarahkan pengguna untuk memasang Desktop Jauh Chrome, memberikan penyerang akses jauh penuh melalui SSH melalui domain C2 kida.plusdocs.kro.kr. Salah konfigurasi pada pelayan C2 mendedahkan data mangsa terdedah, dipercayai berasal daripada sistem Korea Selatan yang terjejas. Selain itu, IP Cina yang dipautkan kepada infrastruktur ini mengandungi log pengelogan kunci dan arkib Proton Drive ZIP yang menghantar BabyShark melalui rantaian berbilang peringkat yang kompleks.

Inovasi Terkini: CAPTCHA Palsu dan Penerapan AutoIt

Baru-baru ini pada Jun 2025, Kimsuky mula mengeksploitasi halaman pengesahan Naver CAPTCHA palsu. Halaman palsu ini mengarahkan pengguna untuk menampal perintah PowerShell ke dalam dialog Run, melaksanakan skrip AutoIt yang memperoleh maklumat sensitif. Ini seterusnya menunjukkan penggunaan penyesuaian kumpulan alat berasaskan skrip dan kejuruteraan sosial untuk mengekalkan kedudukan mereka dalam persekitaran mangsa.

Meluaskan Hadapan Phishing: Penyamaran Akademik dan Serangan HWP

Di luar ClickFix, Kimsuky juga telah dikaitkan dengan kempen pancingan data yang menyamar sebagai surat-menyurat akademik. E-mel ini nampaknya merupakan permintaan untuk menyemak kertas penyelidikan dan menyertakan dokumen HWP yang dilindungi kata laluan. Setelah dibuka, dokumen berniat jahat memanfaatkan objek OLE terbenam untuk menjalankan skrip PowerShell. Skrip ini menjalankan peninjauan sistem terperinci dan menggunakan AnyDesk, alat desktop jauh yang sah, untuk mengekalkan akses jauh yang berterusan.

Pengambilan Utama: Taktik dan Teknik Sepintas Lalu

Serangan kejuruteraan sosial Kimsuky bergantung pada:

• Penyamaran tokoh dan institusi yang dipercayai (wartawan, diplomat, ahli akademik)
• Penggunaan fail tipuan (Dokumen Google, PDF, dokumen HWP) untuk menutup aktiviti berniat jahat
• Manipulasi pengguna untuk menjalankan perintah PowerShell melalui ralat palsu, gesaan pengesahan atau halaman CAPTCHA

Ciri-ciri teknikal kempen termasuk :

• Akses berterusan melalui tugas berjadual dan perisian akses jauh (AnyDesk, Desktop Jauh Chrome)
• Penghantaran berbilang peringkat perisian hasad BabyShark
• Penggunaan alat automasi berasaskan skrip seperti AutoIt
• Kerentanan infrastruktur yang dieksploitasi mendedahkan data mangsa yang dicuri

Kesimpulan: Ancaman yang Terus Berubah

Kempen BabyShark menggambarkan ketangkasan Kimsuky dalam mengembangkan teknik kejuruteraan sosial mereka dan memanfaatkan perisian dan infrastruktur awam yang sah untuk tujuan jahat. Strategi ClickFix menyerlahkan bagaimana pelaku ancaman terus mengeksploitasi tingkah laku manusia sama seperti kelemahan sistem. Kewaspadaan, strategi pertahanan berlapis-lapis, dan pendidikan pengguna kekal penting untuk mengurangkan risiko yang ditimbulkan oleh pelaku ancaman yang canggih itu.