BabyShark Attack Campaign

साइबर सुरक्षा अनुसन्धानकर्ताहरूले उत्तर कोरियाली ह्याकर समूह किमसुकीद्वारा निरन्तर र विकसित हुँदै गइरहेका आक्रमणहरू पत्ता लगाएका छन्, जसले बेबीशार्क मालवेयर फैलाउन क्लिकफिक्स भनेर चिनिने विस्तृत सामाजिक इन्जिनियरिङ रणनीति प्रयोग गरिरहेका छन्। यी अभियानहरूले राष्ट्रिय सुरक्षा विशेषज्ञहरूलाई लक्षित गर्छन् र पीडित प्रणालीहरूमा दीर्घकालीन पहुँच प्राप्त गर्न मानव छल र प्राविधिक चोरी दुवैको फाइदा उठाउँछन्।

भाला-फिसिङ लुर्सको साथ विशेषज्ञहरूलाई लक्षित गर्दै

किमसुकी धम्की समूहले जनवरी २०२५ देखि सक्रिय रूपमा भाला-फिसिङ इमेलहरू तैनाथ गर्दै आएको छ, सुरुमा दक्षिण कोरियाली राष्ट्रिय सुरक्षा विशेषज्ञहरूमा केन्द्रित। आक्रमणकारीहरूले वैध जर्मन-भाषा व्यापार प्रकाशनका प्रतिनिधिहरूको रूपमा भेष बदल्छन् र नक्कली अन्तर्वार्ता अनुरोधहरूद्वारा पीडितहरूलाई लोभ्याउँछन्। यी इमेलहरूमा दुर्भावनापूर्ण RAR अभिलेखहरूको लिङ्कहरू छन्, जुन एक पटक खोलिएपछि, भिजुअल बेसिक स्क्रिप्ट (VBS) तैनाथ गर्दछ। यो स्क्रिप्टले निर्धारित कार्यहरू मार्फत दृढता स्थापित गर्न र प्रणाली जानकारी चोर्न चुपचाप कोड कार्यान्वयन गर्दा वैध देखिन एक डिको गुगल डक्स फाइल सुरु गर्दछ।

भ्रामक व्यक्तित्वहरू र परिमार्जित क्लिकफिक्स भेरियन्टहरू

मार्च २०२५ सम्ममा, किमसुकीले एक उच्च पदस्थ अमेरिकी राष्ट्रिय सुरक्षा अधिकारीको नक्कल गरेर आफ्नो प्रयासलाई तीव्र बनायो। नयाँ फिसिङ इमेलहरूमा बनावटी बैठक प्रश्नहरूको सूची भएको PDF समावेश गरिएको थियो र प्राप्तकर्ताहरूलाई सुरक्षित सामग्री पहुँच गर्न 'प्रमाणीकरण कोड' प्रविष्ट गर्न ठगिएको थियो। यसले क्लिकफिक्स विधिमा परिवर्तनलाई प्रतिनिधित्व गर्दछ, नक्कली त्रुटिहरू समाधान गर्नेदेखि कोडहरू प्रविष्ट गर्नेसम्म, वैधताको भ्रम बढाउने।

अप्रिल २०२५ मा, अर्को प्रकार देखा पर्‍यो, यस पटक जापानी कूटनीतिज्ञको नक्कल गर्दै र अमेरिकाका लागि जापानी राजदूतसँगको प्रस्तावित बैठकलाई सन्दर्भ गर्दै। आक्रमणले फेरि एक अस्पष्ट PowerShell आदेशको कार्यान्वयनलाई ढाकछोप गर्न एक नक्कली Google Docs पृष्ठ प्रयोग गर्‍यो, जसले निरन्तर C2 सञ्चार मार्फत निरन्तर डेटा एक्सफिल्टरेशन र पेलोड तैनातीलाई अनुमति दियो।

नक्कली जागिर पोर्टल र पप-अपहरूलाई हतियार बनाउने

अझ विस्तृत मोडमा, किमसुकीले रक्षा अनुसन्धान जागिर पोर्टलहरूको नक्कल गर्ने नक्कली वेबसाइटहरू प्रयोग गर्न थाले। यी साइटहरूले नक्कली जागिर सूचीहरू प्रदर्शन गरे जुन क्लिक गर्दा, क्लिकफिक्स-शैली पप-अपहरू ट्रिगर गरियो जसले प्रयोगकर्ताहरूलाई विन्डोज रन संवाद खोल्न र पावरशेल आदेश कार्यान्वयन गर्न आग्रह गर्‍यो।
यो आदेशले प्रयोगकर्ताहरूलाई क्रोम रिमोट डेस्कटप स्थापना गर्न निर्देशन दियो, जसले आक्रमणकारीहरूलाई C2 डोमेन kida.plusdocs.kro.kr मार्फत SSH मार्फत पूर्ण रिमोट पहुँच प्रदान गर्‍यो। C2 सर्भरमा भएको गलत कन्फिगरेसनले खुलासा गरिएको पीडित डेटा प्रकट गर्‍यो, जुन सम्झौता गरिएको दक्षिण कोरियाली प्रणालीहरूबाट उत्पन्न भएको विश्वास गरिन्छ। थप रूपमा, यस पूर्वाधारसँग लिङ्क गरिएको चिनियाँ IP मा किलगिङ लग र जटिल बहु-चरण श्रृंखला मार्फत बेबीशार्कलाई डेलिभर गर्ने प्रोटोन ड्राइभ जिप अभिलेख थियो।

हालैका आविष्कारहरू: नक्कली क्याप्चा र अटोइट डिप्लोयमेन्ट

जुन २०२५ मा, किमसुकीले नक्कली नेभर क्याप्चा प्रमाणिकरण पृष्ठहरूको शोषण गर्न थाले। यी नक्कली पृष्ठहरूले प्रयोगकर्ताहरूलाई पावरशेल आदेशहरू रन संवादमा टाँस्न निर्देशन दिए, जसले संवेदनशील जानकारी सङ्कलन गर्ने AutoIt स्क्रिप्ट कार्यान्वयन गर्‍यो। यसले पीडित वातावरणमा आफ्नो पाइला कायम राख्न समूहको स्क्रिप्ट-आधारित उपकरणहरू र सामाजिक इन्जिनियरिङको अनुकूली प्रयोगलाई थप प्रदर्शन गर्दछ।

फिसिङ मोर्चाहरूको विस्तार: शैक्षिक भेष र HWP आक्रमणहरू

क्लिकफिक्स बाहेक, किमसुकीलाई शैक्षिक पत्राचारको रूपमा लुकाइएका फिसिङ अभियानहरूसँग पनि जोडिएको छ। यी इमेलहरू अनुसन्धान पत्र समीक्षा गर्न र पासवर्ड-सुरक्षित HWP कागजात समावेश गर्न अनुरोधहरू जस्तो देखिन्छन्। एक पटक खोलिएपछि, दुर्भावनापूर्ण कागजातले PowerShell स्क्रिप्ट चलाउन एम्बेडेड OLE वस्तुको प्रयोग गर्दछ। यो स्क्रिप्टले विस्तृत प्रणाली पुनर्जागरण सञ्चालन गर्दछ र निरन्तर रिमोट पहुँच कायम राख्न AnyDesk, एक वैध रिमोट डेस्कटप उपकरण, तैनाथ गर्दछ।

मुख्य कुराहरू: एक नजरमा रणनीति र प्रविधिहरू

किमसुकीको सामाजिक इन्जिनियरिङ आक्रमणहरू निम्न कुराहरूमा निर्भर छन्:

• विश्वसनीय व्यक्तित्व र संस्थाहरू (पत्रकार, कूटनीतिज्ञ, शिक्षाविद्) को प्रतिरूपण
• दुर्भावनापूर्ण गतिविधि लुकाउन डिकोय फाइलहरू (गुगल कागजात, PDF, HWP कागजातहरू) को प्रयोग
• नक्कली त्रुटिहरू, प्रमाणीकरण प्रम्प्टहरू, वा क्याप्चा पृष्ठहरू मार्फत प्रयोगकर्ताहरूलाई पावरशेल आदेशहरू चलाउन हेरफेर गर्ने।

अभियानका प्राविधिक विशेषताहरू समावेश छन् :

• निर्धारित कार्यहरू र रिमोट एक्सेस सफ्टवेयर (AnyDesk, Chrome रिमोट डेस्कटप) मार्फत निरन्तर पहुँच
• बेबीशार्क मालवेयरको बहु-चरणीय डेलिभरी
• AutoIt जस्ता स्क्रिप्ट-आधारित स्वचालन उपकरणहरूको प्रयोग
• चोरी भएको पीडितको डेटा उजागर गर्दै पूर्वाधार कमजोरीहरूको शोषण

निष्कर्ष: निरन्तर विकसित हुँदै गइरहेको खतरा

बेबीशार्क अभियानले किमसुकीको सामाजिक इन्जिनियरिङ प्रविधिहरू विकास गर्ने र वैध सफ्टवेयर र सार्वजनिक पूर्वाधारलाई दुर्भावनापूर्ण उद्देश्यका लागि प्रयोग गर्ने चपलतालाई चित्रण गर्दछ। क्लिकफिक्स रणनीतिले कसरी खतरा अभिनेताहरूले प्रणाली कमजोरीहरू जत्तिकै मानव व्यवहारको शोषण गर्न जारी राख्छन् भन्ने कुरा प्रकाश पार्छ। यस्ता परिष्कृत खतरा अभिनेताहरूबाट उत्पन्न जोखिमहरूलाई कम गर्न सतर्कता, स्तरित रक्षा रणनीतिहरू, र प्रयोगकर्ता शिक्षा महत्त्वपूर्ण रहन्छन्।