BabyShark-angrepskampanjen

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare

Oversett til:

Forskere innen nettsikkerhet har avdekket vedvarende og utviklende angrep fra den nordkoreanske hackergruppen Kimsuky, som bruker en forseggjort sosial manipuleringstaktikk kjent som ClickFix for å spre BabyShark-skadevaren. Disse kampanjene retter seg mot nasjonale sikkerhetseksperter og utnytter både menneskelig bedrag og teknisk sniking for å få langsiktig tilgang til ofrenes systemer.

Innholdsfortegnelse

Målretting mot eksperter med spydfiske-lokkemidler

Trusselgruppen Kimsuky har aktivt distribuert spear-phishing-e-poster siden januar 2025, i utgangspunktet med fokus på sørkoreanske nasjonale sikkerhetseksperter. Angriperne utgir seg for å være representanter fra en legitim tyskspråklig forretningspublikasjon og lokker ofrene med falske intervjuforespørsler. Disse e-postene inneholder lenker til ondsinnede RAR-arkiver, som, når de åpnes, distribuerer et Visual Basic Script (VBS). Dette skriptet starter en Google Docs-fil som lokker frem for å virke legitim, samtidig som det kjører kode i stillhet for å etablere persistens gjennom planlagte oppgaver og stjele systeminformasjon.

Villedende personaer og modifiserte ClickFix-varianter

I mars 2025 eskalerte Kimsuky innsatsen ved å utgi seg for å være en høytstående amerikansk nasjonal sikkerhetstjenestemann. De nye phishing-e-postene inneholdt en PDF med en liste over fabrikkerte møtespørsmål og lurte mottakerne til å oppgi en «autentiseringskode» for å få tilgang til antatt sikkert innhold. Dette representerer et skifte i ClickFix-metoden, fra å rette falske feil til å oppgi koder, noe som forsterker illusjonen av legitimitet.

I april 2025 dukket det opp en annen variant, denne gangen utgikk den seg for å være en japansk diplomat og refererte til et foreslått møte med den japanske ambassadøren til USA. Angrepet brukte igjen en Google Docs-side for å maskere utførelsen av en obfuskert PowerShell-kommando, noe som tillot fortsatt datautfiltrering og distribusjon av nyttelast via vedvarende C2-kommunikasjon.

Våpngjøring av falske jobbportaler og popup-vinduer

I en mer forseggjort vri begynte Kimsuky å bruke falske nettsteder som utga seg for å være jobbportaler for forsvarsforskning. Disse nettstedene viste falske stillingsannonser som, når de klikket på dem, utløste ClickFix-lignende popup-vinduer som oppfordret brukerne til å åpne Windows Kjør-dialogboksen og kjøre en PowerShell-kommando.
Denne kommandoen ba brukerne om å installere Chrome Remote Desktop, noe som ga angriperne full ekstern tilgang via SSH gjennom C2-domenet kida.plusdocs.kro.kr. En feilkonfigurasjon på C2-serveren avdekket eksponerte offerdata, som antas å stamme fra kompromitterte sørkoreanske systemer. I tillegg inneholdt en kinesisk IP-adresse koblet til denne infrastrukturen en keylogging-logg og et Proton Drive ZIP-arkiv som leverte BabyShark gjennom en kompleks flertrinnskjede.

Nylige innovasjoner: Falsk CAPTCHA og AutoIt-distribusjon

Så sent som i juni 2025 begynte Kimsuky å utnytte falske Naver CAPTCHA-verifiseringssider. Disse falske sidene instruerte brukerne til å lime inn PowerShell-kommandoer i Kjør-dialogboksen, og kjørte dermed et AutoIt-skript som samlet inn sensitiv informasjon. Dette demonstrerer ytterligere gruppens adaptive bruk av skriptbaserte verktøy og sosial manipulering for å opprettholde fotfestet i offermiljøer.

Utvidende phishing-fronter: Akademisk forkledning og HWP-angrep

Utover ClickFix har Kimsuky også blitt koblet til phishing-kampanjer kamuflert som akademisk korrespondanse. Disse e-postene ser ut til å være forespørsler om å gjennomgå en forskningsartikkel og inkluderer et passordbeskyttet HWP-dokument. Når det ondsinnede dokumentet åpnes, utnytter det et innebygd OLE-objekt for å kjøre et PowerShell-skript. Dette skriptet utfører detaljert systemrekognosering og distribuerer AnyDesk, et legitimt verktøy for eksternt skrivebord, for å opprettholde vedvarende ekstern tilgang.

Viktige poenger: Taktikk og teknikker i korte trekk

Kimsukys sosiale manipuleringsangrep er avhengige av:

Utgivelse av betrodde personer og institusjoner (journalister, diplomater, akademikere)
Bruk av lokkefiler (Google Dokumenter, PDF-er, HWP-dokumenter) for å maskere ondsinnet aktivitet
Manipulering av brukere til å kjøre PowerShell-kommandoer gjennom falske feil, autentiseringsspørsmål eller CAPTCHA-sider

Tekniske kjennetegn ved kampanjen inkluderer :

Permanent tilgang via planlagte oppgaver og programvare for fjerntilgang (AnyDesk, Chrome Remote Desktop)
Flertrinns levering av BabyShark-skadevare
Bruk av skriptbaserte automatiseringsverktøy som AutoIt
Utnyttet infrastruktursårbarheter som avslører stjålne ofredata

Konklusjon: En trussel i stadig utvikling

BabyShark-kampanjen illustrerer Kimsukys smidighet i å utvikle sine sosiale manipuleringsteknikker og utnytte legitim programvare og offentlig infrastruktur til ondsinnede formål. ClickFix-strategien fremhever hvordan trusselaktører fortsetter å utnytte menneskelig atferd like mye som systemsårbarheter. Årvåkenhet, lagdelte forsvarsstrategier og brukeropplæring er fortsatt avgjørende for å redusere risikoen som utgjøres av slike sofistikerte trusselaktører.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

BabyShark-angrepskampanjen

Målretting mot eksperter med spydfiske-lokkemidler

Villedende personaer og modifiserte ClickFix-varianter

Våpngjøring av falske jobbportaler og popup-vinduer

Nylige innovasjoner: Falsk CAPTCHA og AutoIt-distribusjon

Utvidende phishing-fronter: Akademisk forkledning og HWP-angrep

Viktige poenger: Taktikk og teknikker i korte trekk

Konklusjon: En trussel i stadig utvikling

Legg inn kommentar

Trender

Dersinstion.com

Scanandclean.xyz

SafeWatch

Mest sett

Hva er 'msedgewebview2.exe'?

Hva er Msedge.exe?

Skadevare