Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Кампания по борьбе с BabyShark

Кампания по борьбе с BabyShark

К Mezo году в Расширенная постоянная угроза (APT), Вредоносное ПО году
Перевести на:

Исследователи кибербезопасности обнаружили продолжающиеся и развивающиеся атаки северокорейской хакерской группы Kimsuky, которая использует сложную тактику социальной инженерии, известную как ClickFix, для распространения вредоносного ПО BabyShark. Эти кампании нацелены на экспертов по национальной безопасности и используют как человеческий обман, так и техническую скрытность для получения долгосрочного доступа к системам жертвы.

Нацеливание экспертов на фишинговые приманки

Группа угроз Kimsuky активно рассылает фишинговые письма с января 2025 года, изначально сосредоточившись на южнокорейских экспертах по национальной безопасности. Злоумышленники выдают себя за представителей легитимного немецкоязычного делового издания и заманивают жертв поддельными запросами на интервью. Эти письма содержат ссылки на вредоносные архивы RAR, которые после открытия запускают скрипт Visual Basic (VBS). Этот скрипт запускает поддельный файл Google Docs, чтобы казаться легитимным, и в то же время тихо выполняет код для обеспечения устойчивости с помощью запланированных задач и кражи системной информации.

Обманчивые персоны и модифицированные варианты ClickFix

К марту 2025 года Kimsuky усилил свои усилия, выдавая себя за высокопоставленного чиновника национальной безопасности США. Новые фишинговые письма содержали PDF-файл со списком сфабрикованных вопросов для встреч и обманным путем заставляли получателей вводить «код аутентификации» для доступа к якобы защищенному контенту. Это представляет собой сдвиг в методе ClickFix от исправления поддельных ошибок к вводу кодов, усиливая иллюзию легитимности.

В апреле 2025 года появился еще один вариант, на этот раз выдававший себя за японского дипломата и ссылавшийся на предполагаемую встречу с послом Японии в США. В ходе атаки снова использовалась поддельная страница Google Docs для маскировки выполнения запутанной команды PowerShell, что позволило продолжить кражу данных и развертывание полезной нагрузки через постоянную связь с командным центром.

Использование фальшивых порталов по трудоустройству и всплывающих окон в качестве оружия

В более сложном повороте Кимсуки начал использовать поддельные веб-сайты, выдававшие себя за порталы вакансий в сфере оборонных исследований. Эти сайты отображали поддельные списки вакансий, при нажатии на которые появлялись всплывающие окна в стиле ClickFix, призывающие пользователей открыть диалоговое окно Windows Run и выполнить команду PowerShell.
Эта команда предписывала пользователям устанавливать Chrome Remote Desktop, предоставляя злоумышленникам полный удаленный доступ через SSH через домен C2 kida.plusdocs.kro.kr. Неправильная конфигурация на сервере C2 выявила раскрытые данные жертвы, предположительно полученные из скомпрометированных южнокорейских систем. Кроме того, китайский IP, связанный с этой инфраструктурой, содержал журнал регистрации нажатий клавиш и архив Proton Drive ZIP, доставляющий BabyShark через сложную многоступенчатую цепочку.

Последние инновации: поддельная CAPTCHA и развертывание AutoIt

Совсем недавно, в июне 2025 года, Kimsuky начал использовать поддельные страницы проверки Naver CAPTCHA. Эти поддельные страницы предлагали пользователям вставлять команды PowerShell в диалоговое окно «Выполнить», выполняя скрипт AutoIt, который собирал конфиденциальную информацию. Это еще раз демонстрирует адаптивное использование группой инструментов на основе скриптов и социальной инженерии для сохранения своего положения в среде жертвы.

Расширение фронтов фишинга: академическая маскировка и атаки HWP

Помимо ClickFix, Kimsuky также был связан с фишинговыми кампаниями, замаскированными под академическую переписку. Эти электронные письма, по-видимому, являются запросами на рецензирование исследовательской работы и включают защищенный паролем документ HWP. После открытия вредоносный документ использует встроенный объект OLE для запуска скрипта PowerShell. Этот скрипт проводит подробную разведку системы и развертывает AnyDesk, законный инструмент удаленного рабочего стола, для поддержания постоянного удаленного доступа.

Ключевые выводы: краткий обзор тактик и приемов

Атаки социальной инженерии Кимсуки основаны на:

  • Выдача себя за доверенных лиц и учреждения (журналистов, дипломатов, ученых)
  • Использование поддельных файлов (Google Docs, PDF, HWP-документы) для маскировки вредоносной активности
  • Манипулирование пользователями с целью запуска команд PowerShell с помощью поддельных ошибок, запросов на аутентификацию или страниц CAPTCHA

Технические особенности кампании включают в себя :

  • Постоянный доступ через запланированные задачи и программное обеспечение удаленного доступа (AnyDesk, Chrome Remote Desktop)
  • Многоэтапная доставка вредоносного ПО BabyShark
  • Использование инструментов автоматизации на основе скриптов, таких как AutoIt
  • Эксплуатируемые уязвимости инфраструктуры, раскрывающие украденные данные жертв

Заключение: Постоянно развивающаяся угроза

Кампания BabyShark иллюстрирует гибкость Kimsuky в развитии своих методов социальной инженерии и использовании законного программного обеспечения и общественной инфраструктуры для вредоносных целей. Стратегия ClickFix подчеркивает, как субъекты угроз продолжают эксплуатировать человеческое поведение так же, как и уязвимости систем. Бдительность, многоуровневые стратегии защиты и обучение пользователей остаются решающими для снижения рисков, создаваемых такими сложными субъектами угроз.

В тренде

Dersinstion.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Даже один неосторожный клик может открыть шлюзы для угроз безопасности. Мошенники постоянно совершенствуют тактику обмана пользователей, превращая невинный просмотр веб-страниц в рискованное...

Наиболее просматриваемые

Загрузка...