ਬੇਬੀਸ਼ਾਰਕ ਹਮਲਾ ਮੁਹਿੰਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਹੈਕਰ ਸਮੂਹ ਕਿਮਸੁਕੀ ਦੁਆਰਾ ਨਿਰੰਤਰ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਹਮਲਿਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਬੇਬੀਸ਼ਾਰਕ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਲਈ ਕਲਿਕਫਿਕਸ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਮੁਹਿੰਮਾਂ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ ਅਤੇ ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਮਨੁੱਖੀ ਧੋਖਾਧੜੀ ਅਤੇ ਤਕਨੀਕੀ ਚੋਰੀ ਦੋਵਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀਆਂ ਹਨ।

ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਲਾਲਚਾਂ ਨਾਲ ਮਾਹਿਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਕਿਮਸੁਕੀ ਧਮਕੀ ਸਮੂਹ ਜਨਵਰੀ 2025 ਤੋਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਤੈਨਾਤ ਕਰ ਰਿਹਾ ਹੈ, ਸ਼ੁਰੂ ਵਿੱਚ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ। ਹਮਲਾਵਰ ਇੱਕ ਜਾਇਜ਼ ਜਰਮਨ-ਭਾਸ਼ਾ ਦੇ ਵਪਾਰਕ ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਪ੍ਰਤੀਨਿਧੀਆਂ ਵਜੋਂ ਭੇਸ ਬਦਲਦੇ ਹਨ ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ ਜਾਅਲੀ ਇੰਟਰਵਿਊ ਬੇਨਤੀਆਂ ਨਾਲ ਭਰਮਾਉਂਦੇ ਹਨ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਵਿੱਚ ਖਤਰਨਾਕ RAR ਪੁਰਾਲੇਖਾਂ ਦੇ ਲਿੰਕ ਹੁੰਦੇ ਹਨ, ਜੋ ਇੱਕ ਵਾਰ ਖੁੱਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ (VBS) ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟ ਅਨੁਸੂਚਿਤ ਕੰਮਾਂ ਦੁਆਰਾ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਲਈ ਚੁੱਪਚਾਪ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹੋਏ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਲਈ ਇੱਕ ਡੀਕੋਏ ਗੂਗਲ ਡੌਕਸ ਫਾਈਲ ਲਾਂਚ ਕਰਦੀ ਹੈ।

ਧੋਖੇਬਾਜ਼ ਵਿਅਕਤੀ ਅਤੇ ਸੋਧੇ ਹੋਏ ਕਲਿਕਫਿਕਸ ਰੂਪ

ਮਾਰਚ 2025 ਤੱਕ, ਕਿਮਸੁਕੀ ਨੇ ਇੱਕ ਉੱਚ-ਦਰਜੇ ਦੇ ਅਮਰੀਕੀ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਅਧਿਕਾਰੀ ਦੀ ਨਕਲ ਕਰਕੇ ਆਪਣੇ ਯਤਨਾਂ ਨੂੰ ਤੇਜ਼ ਕਰ ਦਿੱਤਾ। ਨਵੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ PDF ਸੀ ਜਿਸ ਵਿੱਚ ਨਕਲੀ ਮੀਟਿੰਗ ਪ੍ਰਸ਼ਨਾਂ ਦੀ ਸੂਚੀ ਸੀ ਅਤੇ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਕਥਿਤ ਸੁਰੱਖਿਅਤ ਸਮੱਗਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ 'ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ' ਦਰਜ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਇਹ ClickFix ਵਿਧੀ ਵਿੱਚ ਇੱਕ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਾਅਲੀ ਗਲਤੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨ ਤੋਂ ਲੈ ਕੇ ਕੋਡ ਦਾਖਲ ਕਰਨ ਤੱਕ, ਜਾਇਜ਼ਤਾ ਦੇ ਭਰਮ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।

ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ, ਇੱਕ ਹੋਰ ਰੂਪ ਸਾਹਮਣੇ ਆਇਆ, ਇਸ ਵਾਰ ਇੱਕ ਜਾਪਾਨੀ ਡਿਪਲੋਮੈਟ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਅਤੇ ਅਮਰੀਕਾ ਵਿੱਚ ਜਾਪਾਨੀ ਰਾਜਦੂਤ ਨਾਲ ਇੱਕ ਪ੍ਰਸਤਾਵਿਤ ਮੀਟਿੰਗ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ। ਹਮਲੇ ਨੇ ਫਿਰ ਇੱਕ ਅਸਪਸ਼ਟ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਇੱਕ ਨਕਲੀ ਗੂਗਲ ਡੌਕਸ ਪੰਨੇ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਨਾਲ ਨਿਰੰਤਰ C2 ਸੰਚਾਰ ਦੁਆਰਾ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਪੇਲੋਡ ਤੈਨਾਤੀ ਜਾਰੀ ਰਹੀ।

ਨਕਲੀ ਨੌਕਰੀ ਪੋਰਟਲਾਂ ਅਤੇ ਪੌਪ-ਅੱਪਸ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣਾ

ਇੱਕ ਹੋਰ ਵਿਸਤ੍ਰਿਤ ਮੋੜ ਵਿੱਚ, ਕਿਮਸੁਕੀ ਨੇ ਰੱਖਿਆ ਖੋਜ ਨੌਕਰੀ ਪੋਰਟਲਾਂ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀਆਂ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤੀ। ਇਹਨਾਂ ਸਾਈਟਾਂ ਨੇ ਜਾਅਲੀ ਨੌਕਰੀ ਸੂਚੀਆਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੀਆਂ, ਜਿਨ੍ਹਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ 'ਤੇ, ਕਲਿੱਕਫਿਕਸ-ਸ਼ੈਲੀ ਦੇ ਪੌਪ-ਅੱਪ ਸ਼ੁਰੂ ਹੋ ਗਏ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਖੋਲ੍ਹਣ ਅਤੇ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡ ਚਲਾਉਣ ਲਈ ਬੇਨਤੀ ਕਰਦੇ ਸਨ।
ਇਸ ਕਮਾਂਡ ਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ Chrome ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ C2 ਡੋਮੇਨ kida.plusdocs.kro.kr ਰਾਹੀਂ SSH ਰਾਹੀਂ ਪੂਰੀ ਰਿਮੋਟ ਪਹੁੰਚ ਮਿਲੀ। C2 ਸਰਵਰ 'ਤੇ ਇੱਕ ਗਲਤ ਸੰਰਚਨਾ ਨੇ ਪੀੜਤ ਡੇਟਾ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜਿਸਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਦੱਖਣੀ ਕੋਰੀਆਈ ਸਿਸਟਮਾਂ ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਜੁੜੇ ਇੱਕ ਚੀਨੀ IP ਵਿੱਚ ਇੱਕ ਕੀਲੌਗਿੰਗ ਲੌਗ ਅਤੇ ਇੱਕ ਪ੍ਰੋਟੋਨ ਡਰਾਈਵ ਜ਼ਿਪ ਆਰਕਾਈਵ ਸੀ ਜੋ ਬੇਬੀਸ਼ਾਰਕ ਨੂੰ ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਲਟੀ-ਸਟੇਜ ਚੇਨ ਰਾਹੀਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਸੀ।

ਹਾਲੀਆ ਕਾਢਾਂ: ਨਕਲੀ ਕੈਪਚਾ ਅਤੇ ਆਟੋਇਟ ਡਿਪਲਾਇਮੈਂਟ

ਹਾਲ ਹੀ ਵਿੱਚ ਜੂਨ 2025 ਵਿੱਚ, ਕਿਮਸੁਕੀ ਨੇ ਨਕਲੀ ਨੇਵਰ ਕੈਪਟਚਾ ਵੈਰੀਫਿਕੇਸ਼ਨ ਪੰਨਿਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ। ਇਹਨਾਂ ਨਕਲੀ ਪੰਨਿਆਂ ਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ ਨੂੰ ਰਨ ਡਾਇਲਾਗ ਵਿੱਚ ਪੇਸਟ ਕਰਨ ਲਈ ਕਿਹਾ, ਇੱਕ ਆਟੋਇਟ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਇਆ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੀ ਸੀ। ਇਹ ਪੀੜਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਆਪਣੇ ਪੈਰ ਜਮਾਉਣ ਲਈ ਸਮੂਹ ਦੁਆਰਾ ਸਕ੍ਰਿਪਟ-ਅਧਾਰਤ ਟੂਲਸ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੇ ਅਨੁਕੂਲ ਵਰਤੋਂ ਨੂੰ ਹੋਰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ ਮੋਰਚਿਆਂ ਦਾ ਵਿਸਤਾਰ: ਅਕਾਦਮਿਕ ਭੇਸ ਅਤੇ HWP ਹਮਲੇ

ClickFix ਤੋਂ ਇਲਾਵਾ, Kimsuky ਨੂੰ ਅਕਾਦਮਿਕ ਪੱਤਰ ਵਿਹਾਰ ਦੇ ਰੂਪ ਵਿੱਚ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਈਮੇਲਾਂ ਇੱਕ ਖੋਜ ਪੱਤਰ ਦੀ ਸਮੀਖਿਆ ਕਰਨ ਅਤੇ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ HWP ਦਸਤਾਵੇਜ਼ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀਆਂ ਬੇਨਤੀਆਂ ਜਾਪਦੀਆਂ ਹਨ। ਇੱਕ ਵਾਰ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ ਦਸਤਾਵੇਜ਼ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਚਲਾਉਣ ਲਈ ਇੱਕ ਏਮਬੈਡਡ OLE ਆਬਜੈਕਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਵਿਸਤ੍ਰਿਤ ਸਿਸਟਮ ਖੋਜ ਕਰਦੀ ਹੈ ਅਤੇ ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ AnyDesk, ਇੱਕ ਜਾਇਜ਼ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਟੂਲ, ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ।

ਮੁੱਖ ਨੁਕਤੇ: ਇੱਕ ਨਜ਼ਰ ਵਿੱਚ ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕਾਂ

ਕਿਮਸੁਕੀ ਦੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲੇ ਇਸ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ:

• ਭਰੋਸੇਯੋਗ ਸ਼ਖਸੀਅਤਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ (ਪੱਤਰਕਾਰ, ਡਿਪਲੋਮੈਟ, ਸਿੱਖਿਆ ਸ਼ਾਸਤਰੀ) ਦਾ ਰੂਪ ਧਾਰਨ ਕਰਨਾ
• ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਡੀਕੋਏ ਫਾਈਲਾਂ (ਗੂਗਲ ਡੌਕਸ, ਪੀਡੀਐਫ, ਐਚਡਬਲਯੂਪੀ ਦਸਤਾਵੇਜ਼) ਦੀ ਵਰਤੋਂ
• ਨਕਲੀ ਗਲਤੀਆਂ, ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਂਪਟ, ਜਾਂ ਕੈਪਚਾ ਪੰਨਿਆਂ ਰਾਹੀਂ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਦਾ ਹੇਰਾਫੇਰੀ।

ਇਸ ਮੁਹਿੰਮ ਦੀਆਂ ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ :

• ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਸੌਫਟਵੇਅਰ (ਐਨੀਡੈਸਕ, ਕਰੋਮ ਰਿਮੋਟ ਡੈਸਕਟੌਪ) ਰਾਹੀਂ ਨਿਰੰਤਰ ਪਹੁੰਚ
• ਬੇਬੀਸ਼ਾਰਕ ਮਾਲਵੇਅਰ ਦੀ ਮਲਟੀ-ਸਟੇਜ ਡਿਲੀਵਰੀ
• ਆਟੋਇਟ ਵਰਗੇ ਸਕ੍ਰਿਪਟ-ਅਧਾਰਿਤ ਆਟੋਮੇਸ਼ਨ ਟੂਲਸ ਦੀ ਵਰਤੋਂ
• ਚੋਰੀ ਹੋਏ ਪੀੜਤ ਡੇਟਾ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਦੇ ਹੋਏ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ

ਸਿੱਟਾ: ਇੱਕ ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ

ਬੇਬੀਸ਼ਾਰਕ ਮੁਹਿੰਮ ਕਿਮਸੁਕੀ ਦੀ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਅਤੇ ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਅਤੇ ਜਨਤਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਲਾਭ ਉਠਾਉਣ ਦੀ ਚੁਸਤੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਕਲਿਕਫਿਕਸ ਰਣਨੀਤੀ ਇਹ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵਿਅਕਤੀ ਸਿਸਟਮ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਵਾਂਗ ਮਨੁੱਖੀ ਵਿਵਹਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਰਹਿੰਦੇ ਹਨ। ਅਜਿਹੇ ਸੂਝਵਾਨ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਚੌਕਸੀ, ਪੱਧਰੀ ਰੱਖਿਆ ਰਣਨੀਤੀਆਂ ਅਤੇ ਉਪਭੋਗਤਾ ਸਿੱਖਿਆ ਮਹੱਤਵਪੂਰਨ ਰਹਿੰਦੀਆਂ ਹਨ।