Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) BabyShark Attack Campaign

BabyShark Attack Campaign

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit atacuri continue și în continuă evoluție ale grupului de hackeri nord-coreeni Kimsuky, care utilizează o tactică elaborată de inginerie socială, cunoscută sub numele de ClickFix, pentru a răspândi malware-ul BabyShark. Aceste campanii vizează experții în securitate națională și utilizează atât înșelăciunea umană, cât și ascunderea tehnică pentru a obține acces pe termen lung la sistemele victimelor.

Vizarea experților cu momeli pentru spear-phishing

Grupul de amenințări Kimsuky a implementat activ e-mailuri de tip spear-phishing din ianuarie 2025, concentrându-se inițial pe experți sud-coreeni în securitate națională. Atacatorii se deghizează în reprezentanți ai unei publicații de afaceri legitime în limba germană și atrage victimele cu solicitări false de interviu. Aceste e-mailuri conțin link-uri către arhive RAR malițioase, care, odată deschise, implementează un script Visual Basic (VBS). Acest script lansează un fișier Google Docs capcană pentru a părea legitim, în timp ce execută în liniște cod pentru a stabili persistența prin sarcinile programate și a fura informații de sistem.

Personaje înșelătoare și variante ClickFix modificate

Până în martie 2025, Kimsuky și-a intensificat eforturile dându-se drept un oficial de rang înalt din domeniul securității naționale americane. Noile e-mailuri de phishing conțineau un PDF cu o listă de întrebări de întâlnire fabricate și îi păcăleau pe destinatari să introducă un „cod de autentificare” pentru a accesa conținut presupus securizat. Aceasta reprezintă o schimbare în metoda ClickFix, de la corectarea erorilor false la introducerea de coduri, sporind iluzia legitimității.

În aprilie 2025, a apărut o altă variantă, de data aceasta dând dovadă de identitatea unui diplomat japonez și făcând referire la o întâlnire propusă cu ambasadorul Japoniei în SUA. Atacul a folosit din nou o pagină capcană din Google Docs pentru a masca execuția unei comenzi PowerShell ofuscate, permițând exfiltrarea continuă a datelor și implementarea sarcinii utile prin comunicare C2 persistentă.

Portaluri de locuri de muncă false și ferestre pop-up transformate în arme

Într-o variantă mai elaborată, Kimsuky a început să folosească site-uri web false care se prefăceau a fi portaluri de locuri de muncă în domeniul cercetării în domeniul apărării. Aceste site-uri afișau anunțuri de locuri de muncă false care, atunci când erau accesate, declanșau ferestre pop-up de tip ClickFix, care îndemnau utilizatorii să deschidă caseta de dialog Executare Windows și să execute o comandă PowerShell.
Această comandă a direcționat utilizatorii să instaleze Chrome Remote Desktop, oferind atacatorilor acces complet de la distanță prin SSH prin domeniul C2 kida.plusdocs.kro.kr. O configurație greșită pe serverul C2 a dezvăluit date expuse ale victimelor, despre care se crede că provin din sisteme sud-coreene compromise. În plus, o adresă IP chinezească conectată la această infrastructură conținea un jurnal de keylogging și o arhivă ZIP Proton Drive care livra BabyShark printr-un lanț complex în mai multe etape.

Inovații recente: CAPTCHA fals și implementare AutoIt

În iunie 2025, Kimsuky a început să exploateze pagini false de verificare CAPTCHA din Naver. Aceste pagini false le-au cerut utilizatorilor să lipească comenzi PowerShell în caseta de dialog Executare, executând un script AutoIt care colecta informații sensibile. Acest lucru demonstrează în continuare utilizarea adaptivă de către grup a instrumentelor bazate pe scripturi și a ingineriei sociale pentru a-și menține prezența în mediile victimelor.

Fronturi de phishing în expansiune: deghizare academică și atacuri HWP

Dincolo de ClickFix, Kimsuky a fost asociat și cu campanii de phishing deghizate în corespondență academică. Aceste e-mailuri par a fi solicitări de revizuire a unei lucrări de cercetare și includ un document HWP protejat prin parolă. Odată deschis, documentul rău intenționat utilizează un obiect OLE încorporat pentru a rula un script PowerShell. Acest script efectuează o recunoaștere detaliată a sistemului și implementează AnyDesk, un instrument legitim pentru desktop la distanță, pentru a menține accesul persistent la distanță.

Puncte cheie: tactici și tehnici pe scurt

Atacurile de inginerie socială ale lui Kimsuky se bazează pe:

  • Uzurparea identității unor personalități și instituții de încredere (jurnaliști, diplomați, cadre universitare)
  • Utilizarea fișierelor capcană (Google Docs, PDF-uri, documente HWP) pentru a masca activități rău intenționate
  • Manipularea utilizatorilor pentru a executa comenzi PowerShell prin erori false, solicitări de autentificare sau pagini CAPTCHA

Caracteristicile tehnice ale campaniei includ :

  • Acces persistent prin intermediul sarcinilor programate și al software-ului de acces la distanță (AnyDesk, Chrome Remote Desktop)
  • Livrare în mai multe etape a malware-ului BabyShark
  • Utilizarea instrumentelor de automatizare bazate pe scripturi, cum ar fi AutoIt
  • Vulnerabilități exploatate ale infrastructurii care expun datele victimelor furate

Concluzie: O amenințare în continuă evoluție

Campania BabyShark ilustrează agilitatea Kimsuky în dezvoltarea tehnicilor sale de inginerie socială și în valorificarea software-ului legitim și a infrastructurii publice în scopuri rău intenționate. Strategia ClickFix evidențiază modul în care actorii de amenințare continuă să exploateze comportamentul uman la fel de mult ca și vulnerabilitățile sistemului. Vigilența, strategiile de apărare stratificate și educarea utilizatorilor rămân cruciale pentru atenuarea riscurilor reprezentate de acești actori de amenințare sofisticați.

Trending

Cele mai văzute

Se încarcă...