Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Kampania przeciwko atakom BabySharka

Kampania przeciwko atakom BabySharka

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli ciągłe i rozwijające się ataki północnokoreańskiej grupy hakerów Kimsuky, którzy wykorzystują skomplikowaną taktykę inżynierii społecznej znaną jako ClickFix, aby rozprzestrzeniać złośliwe oprogramowanie BabyShark. Kampanie te są skierowane do ekspertów ds. bezpieczeństwa narodowego i wykorzystują zarówno ludzkie oszustwo, jak i techniczne ukrywanie się, aby uzyskać długoterminowy dostęp do systemów ofiar.

Celowanie w ekspertów za pomocą przynęt typu spear-phishing

Grupa przestępców Kimsuky aktywnie rozsyłała e-maile typu spear-phishing od stycznia 2025 r., początkowo skupiając się na południowokoreańskich ekspertach ds. bezpieczeństwa narodowego. Atakujący podszywają się pod przedstawicieli legalnej niemieckojęzycznej publikacji biznesowej i kuszą ofiary fałszywymi prośbami o wywiad. Te e-maile zawierają linki do złośliwych archiwów RAR, które po otwarciu wdrażają skrypt Visual Basic (VBS). Skrypt ten uruchamia plik Google Docs, aby wyglądał na legalny, jednocześnie cicho wykonując kod w celu ustanowienia trwałości za pomocą zaplanowanych zadań i kradzieży informacji systemowych.

Oszukańcze persony i zmodyfikowane warianty ClickFix

W marcu 2025 r. Kimsuky zintensyfikował swoje działania, podszywając się pod wysoko postawionego urzędnika ds. bezpieczeństwa narodowego USA. Nowe wiadomości e-mail phishingowe zawierały plik PDF z listą sfabrykowanych pytań na spotkania i oszukiwały odbiorców, aby wprowadzili „kod uwierzytelniający”, aby uzyskać dostęp do rzekomo bezpiecznej treści. Stanowi to zmianę w metodzie ClickFix, od naprawiania fałszywych błędów do wprowadzania kodów, wzmacniając iluzję legalności.

W kwietniu 2025 r. pojawiła się kolejna wersja ataku, tym razem podszywająca się pod japońskiego dyplomatę i nawiązująca do planowanego spotkania z japońskim ambasadorem w USA. W ataku ponownie wykorzystano fałszywą stronę Google Docs, aby zamaskować wykonywanie zaciemnionego polecenia programu PowerShell, umożliwiając w ten sposób dalszą eksfiltrację danych i wdrażanie ładunku za pośrednictwem stałej komunikacji C2.

Broń w postaci fałszywych portali pracy i wyskakujących okienek

W bardziej rozbudowanym zwrocie akcji Kimsuky zaczął używać fałszywych witryn internetowych podszywających się pod portale z ofertami pracy w badaniach obronnych. Witryny te wyświetlały fałszywe oferty pracy, które po kliknięciu uruchamiały wyskakujące okienka w stylu ClickFix, namawiające użytkowników do otwarcia okna dialogowego Uruchom systemu Windows i wykonania polecenia programu PowerShell.
To polecenie nakazywało użytkownikom zainstalowanie Chrome Remote Desktop, dając atakującym pełny zdalny dostęp przez SSH przez domenę C2 kida.plusdocs.kro.kr. Błędna konfiguracja na serwerze C2 ujawniła ujawnione dane ofiary, które prawdopodobnie pochodziły z zainfekowanych systemów południowokoreańskich. Ponadto chiński adres IP powiązany z tą infrastrukturą zawierał dziennik keyloggerów i archiwum ZIP Proton Drive dostarczające BabyShark przez złożony łańcuch wieloetapowy.

Najnowsze innowacje: Fałszywa CAPTCHA i wdrożenie AutoIt

Jeszcze w czerwcu 2025 r. Kimsuky zaczął wykorzystywać fałszywe strony weryfikacyjne Naver CAPTCHA. Te fałszywe strony instruowały użytkowników, aby wklejali polecenia PowerShell do okna dialogowego Uruchom, wykonując skrypt AutoIt, który zbierał poufne informacje. To kolejny dowód na adaptacyjne wykorzystanie przez grupę narzędzi opartych na skryptach i inżynierii społecznej w celu utrzymania pozycji w środowiskach ofiar.

Rozszerzające się fronty phishingu: maskowanie akademickie i ataki HWP

Oprócz ClickFix, Kimsuky został również powiązany z kampaniami phishingowymi zamaskowanymi jako korespondencja akademicka. Te e-maile wydają się być prośbami o przejrzenie pracy badawczej i zawierają chroniony hasłem dokument HWP. Po otwarciu złośliwy dokument wykorzystuje osadzony obiekt OLE do uruchomienia skryptu PowerShell. Ten skrypt przeprowadza szczegółowy rekonesans systemu i wdraża AnyDesk, legalne narzędzie do zdalnego pulpitu, aby utrzymać stały zdalny dostęp.

Najważniejsze wnioski: taktyki i techniki w skrócie

Ataki socjotechniczne Kimsuky'ego opierają się na:

  • Podszywanie się pod zaufane osoby i instytucje (dziennikarzy, dyplomatów, pracowników naukowych)
  • Wykorzystanie plików pozorowanych (Dokumenty Google, pliki PDF, dokumenty HWP) w celu zamaskowania złośliwej aktywności
  • Manipulowanie użytkownikami w celu uruchomienia poleceń programu PowerShell za pomocą fałszywych błędów, monitów uwierzytelniania lub stron CAPTCHA

Cechy techniczne kampanii obejmują :

  • Stały dostęp za pośrednictwem zaplanowanych zadań i oprogramowania do zdalnego dostępu (AnyDesk, Chrome Remote Desktop)
  • Wieloetapowe dostarczanie złośliwego oprogramowania BabyShark
  • Korzystanie z narzędzi automatyzacji opartych na skryptach, takich jak AutoIt
  • Wykorzystywane luki w zabezpieczeniach infrastruktury ujawniające skradzione dane ofiar

Wnioski: Ciągle ewoluujące zagrożenie

Kampania BabyShark ilustruje zwinność Kimsuky w rozwijaniu technik inżynierii społecznej i wykorzystywaniu legalnego oprogramowania i infrastruktury publicznej do złośliwych celów. Strategia ClickFix podkreśla, w jaki sposób aktorzy zagrożeń nadal wykorzystują ludzkie zachowania tak samo jak luki w zabezpieczeniach systemu. Czujność, wielowarstwowe strategie obronne i edukacja użytkowników pozostają kluczowe dla łagodzenia ryzyka stwarzanego przez tak wyrafinowanych aktorów zagrożeń.

Popularne

Najczęściej oglądane

Ładowanie...