Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) BabyShark-aanvalscampagne

BabyShark-aanvalscampagne

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

Cybersecurityonderzoekers hebben voortdurende en steeds verdergaande aanvallen ontdekt van de Noord-Koreaanse hackersgroep Kimsuky, die een geavanceerde social engineering-tactiek genaamd ClickFix gebruikt om de BabyShark-malware te verspreiden. Deze campagnes zijn gericht op nationale veiligheidsexperts en maken gebruik van zowel menselijke misleiding als technische stealth om langdurige toegang te krijgen tot de systemen van slachtoffers.

Experts targeten met spearfishing-lokaas

De Kimsuky-dreigingsgroep is sinds januari 2025 actief bezig met het verspreiden van spearphishingmails, aanvankelijk gericht op Zuid-Koreaanse experts op het gebied van nationale veiligheid. De aanvallers doen zich voor als vertegenwoordigers van een legitieme Duitstalige zakelijke publicatie en lokken slachtoffers met nep-interviewverzoeken. Deze e-mails bevatten links naar kwaadaardige RAR-archieven, die na opening een Visual Basic Script (VBS) implementeren. Dit script start een Google Docs-bestand dat er legitiem uitziet, terwijl het in stilte code uitvoert om persistentie te creëren tijdens geplande taken en systeeminformatie te stelen.

Misleidende persona’s en aangepaste ClickFix-varianten

In maart 2025 intensiveerde Kimsuky zijn inspanningen door zich voor te doen als een hoge Amerikaanse nationale veiligheidsfunctionaris. De nieuwe phishingmails bevatten een pdf met een lijst met verzonnen vergadervragen en misleidden ontvangers tot het invoeren van een 'authenticatiecode' om toegang te krijgen tot zogenaamd beveiligde content. Dit vertegenwoordigt een verschuiving in de ClickFix-methode, van het herstellen van nepfouten naar het invoeren van codes, wat de illusie van legitimiteit versterkt.

In april 2025 dook een andere variant op. Deze keer deed de aanval zich voor als Japanse diplomaat en verwees naar een voorgestelde ontmoeting met de Japanse ambassadeur in de VS. Bij de aanval werd opnieuw gebruikgemaakt van een valse Google Docs-pagina om de uitvoering van een verhulde PowerShell-opdracht te maskeren. Zo kon data worden doorzocht en payloads worden geïmplementeerd via permanente C2-communicatie.

Het wapen maken van nep-vacatureportals en pop-ups

In een meer gedurfde wending begon Kimsuky nepwebsites te gebruiken die zich voordeden als vacaturesites voor defensieonderzoek. Deze sites toonden nepvacatures die, wanneer erop werd geklikt, ClickFix-achtige pop-ups activeerden die gebruikers aanspoorden het Windows-venster Uitvoeren te openen en een PowerShell-opdracht uit te voeren.
Deze opdracht instrueerde gebruikers om Chrome Remote Desktop te installeren, waardoor aanvallers volledige toegang op afstand via SSH kregen via het C2-domein kida.plusdocs.kro.kr. Een verkeerde configuratie op de C2-server bracht blootgestelde slachtoffergegevens aan het licht, waarvan werd aangenomen dat ze afkomstig waren van gecompromitteerde Zuid-Koreaanse systemen. Bovendien bevatte een Chinees IP-adres gekoppeld aan deze infrastructuur een keylogging-logboek en een Proton Drive ZIP-archief dat BabyShark via een complexe, meerstapsketen leverde.

Recente innovaties: nep-CAPTCHA en AutoIt-implementatie

Nog in juni 2025 begon Kimsuky met het exploiteren van neppe Naver CAPTCHA-verificatiepagina's. Deze neppagina's instrueerden gebruikers om PowerShell-opdrachten in het dialoogvenster Uitvoeren te plakken, waarbij een AutoIt-script werd uitgevoerd dat gevoelige informatie verzamelde. Dit toont verder aan hoe adaptief de groep gebruikmaakt van scriptgebaseerde tools en social engineering om hun positie in de omgeving van slachtoffers te behouden.

Uitbreidende phishingfronten: academische vermomming en HWP-aanvallen

Naast ClickFix is Kimsuky ook in verband gebracht met phishingcampagnes vermomd als academische correspondentie. Deze e-mails lijken verzoeken te zijn om een onderzoekspaper te beoordelen en bevatten een met een wachtwoord beveiligd HWP-document. Eenmaal geopend, maakt het schadelijke document gebruik van een ingebouwd OLE-object om een PowerShell-script uit te voeren. Dit script voert een gedetailleerde systeemverkenning uit en implementeert AnyDesk, een legitieme tool voor extern bureaublad, om permanente toegang op afstand te behouden.

Belangrijkste punten: tactieken en technieken in één oogopslag

Kimsuky's social engineering-aanvallen zijn gebaseerd op:

  • Zich voordoen als een vertrouwde figuur of instelling (journalist, diplomaat, academicus)
  • Gebruik van lokbestanden (Google Docs, PDF's, HWP-documenten) om kwaadaardige activiteiten te maskeren
  • Manipulatie van gebruikers om PowerShell-opdrachten uit te voeren via valse fouten, authenticatieprompts of CAPTCHA-pagina's

Technische kenmerken van de campagne zijn onder meer :

  • Blijvende toegang via geplande taken en software voor externe toegang (AnyDesk, Chrome Remote Desktop)
  • Meervoudige levering van BabyShark-malware
  • Gebruik van op scripts gebaseerde automatiseringstools zoals AutoIt
  • Geëxploiteerde kwetsbaarheden in de infrastructuur waardoor gestolen slachtoffergegevens bloot komen te liggen

Conclusie: een voortdurend evoluerende bedreiging

De BabyShark-campagne illustreert Kimsuky's wendbaarheid in het ontwikkelen van social engineering-technieken en het inzetten van legitieme software en openbare infrastructuur voor kwaadaardige doeleinden. De ClickFix-strategie benadrukt hoe cybercriminelen menselijk gedrag en systeemkwetsbaarheden blijven uitbuiten. Waakzaamheid, gelaagde verdedigingsstrategieën en gebruikersvoorlichting blijven cruciaal om de risico's van dergelijke geavanceerde cybercriminelen te beperken.

Trending

Meest bekeken

Bezig met laden...