Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Kampaň útoku BabyShark

Kampaň útoku BabyShark

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili pokračujúce a vyvíjajúce sa útoky severokórejskej hackerskej skupiny Kimsuky, ktorá na šírenie malvéru BabyShark používa prepracovanú taktiku sociálneho inžinierstva známu ako ClickFix. Tieto kampane sú zamerané na expertov v oblasti národnej bezpečnosti a využívajú ľudské klamstvá aj technické utajenie na získanie dlhodobého prístupu k systémom obetí.

Zacielenie na expertov pomocou phishingových návnad

Hroziaca skupina Kimsuky aktívne rozosiela phishingové e-maily od januára 2025, pričom sa pôvodne zameriava na juhokórejských expertov na národnú bezpečnosť. Útočníci sa maskujú ako zástupcovia legitímneho nemecky hovoriaceho obchodného časopisu a lákajú obete falošnými žiadosťami o rozhovor. Tieto e-maily obsahujú odkazy na škodlivé archívy RAR, ktoré po otvorení nasadia skript Visual Basic (VBS). Tento skript spustí návnadový súbor Dokumentov Google, ktorý sa javí ako legitímny, pričom potichu spustí kód na zabezpečenie trvalosti prostredníctvom naplánovaných úloh a ukradne systémové informácie.

Klamlivé persony a upravené varianty ClickFixu

Do marca 2025 spoločnosť Kimsuky stupňovala svoje úsilie vydávaním sa za vysokopostaveného predstaviteľa národnej bezpečnosti USA. Nové phishingové e-maily obsahovali PDF súbor so zoznamom vymyslených otázok zo stretnutia a oklamali príjemcov, aby zadali „autentizačný kód“ na prístup k údajne zabezpečenému obsahu. Toto predstavuje posun v metóde ClickFix od opravy falošných chýb k zadávaniu kódov, čím sa posilnila ilúzia legitimity.

V apríli 2025 sa objavil ďalší variant, tentoraz vydávajúci sa za japonského diplomata a odkazujúci na navrhované stretnutie s japonským veľvyslancom v USA. Útok opäť použil návnadovú stránku Dokumentov Google na maskovanie vykonania zahaleného príkazu PowerShell, čo umožnilo pokračujúce odoberanie údajov a nasadzovanie užitočného zaťaženia prostredníctvom trvalej komunikácie C2.

Zbraňovanie falošných pracovných portálov a vyskakovacích okien

V prepracovanejšom zákulisí Kimsuky začal používať falošné webové stránky, ktoré sa vydávali za portály pracovných ponúk v oblasti obranného výskumu. Tieto stránky zobrazovali falošné pracovné ponuky, ktoré po kliknutí spúšťali vyskakovacie okná v štýle ClickFixu, ktoré nabádali používateľov, aby otvorili dialógové okno Spustiť vo Windowse a vykonali príkaz PowerShell.
Tento príkaz nariadil používateľom nainštalovať si Vzdialenú plochu Chrome, čím útočníkom poskytol plný vzdialený prístup cez SSH prostredníctvom domény C2 kida.plusdocs.kro. Nesprávna konfigurácia na serveri C2 odhalila odhalené údaje obete, o ktorých sa predpokladá, že pochádzajú z napadnutých juhokórejských systémov. Okrem toho čínska IP adresa prepojená s touto infraštruktúrou obsahovala protokol na zaznamenávanie stlačení kláves a ZIP archív Proton Drive, ktorý prenášal BabyShark prostredníctvom zložitého viacstupňového reťazca.

Nedávne inovácie: Falošná CAPTCHA a nasadenie AutoIt

Ešte v júni 2025 začala skupina Kimsuky zneužívať falošné overovacie stránky Naver CAPTCHA. Tieto falošné stránky nariaďovali používateľom vložiť príkazy PowerShellu do dialógového okna Spustiť, čím sa spustil skript AutoIt, ktorý zhromažďoval citlivé informácie. Toto ďalej demonštruje adaptívne využívanie nástrojov založených na skriptoch a sociálneho inžinierstva skupinou na udržanie si pozície v prostredí obetí.

Rozširujúce sa phishingové fronty: Akademické maskovanie a útoky HWP

Okrem ClickFixu bol Kimsuky spájaný aj s phishingovými kampaňami maskovanými ako akademická korešpondencia. Tieto e-maily sa zdajú byť žiadosťami o recenziu výskumnej práce a obsahujú heslom chránený HWP dokument. Po otvorení škodlivý dokument využíva vložený objekt OLE na spustenie PowerShell skriptu. Tento skript vykonáva podrobný prieskum systému a nasadzuje AnyDesk, legitímny nástroj pre vzdialenú pracovnú plochu, na udržanie trvalého vzdialeného prístupu.

Kľúčové poznatky: Taktiky a techniky v skratke

Kimsukyho útoky sociálneho inžinierstva sa spoliehajú na:

  • Vydávanie sa za dôveryhodné osoby a inštitúcie (novinárov, diplomatov, akademikov)
  • Použitie návnadových súborov (Dokumenty Google, PDF, dokumenty HWP) na maskovanie škodlivej aktivity
  • Manipulácia používateľov spúšťaním príkazov PowerShellu prostredníctvom falošných chýb, overovacích výziev alebo stránok CAPTCHA

Medzi technické znaky kampane patria :

  • Trvalý prístup prostredníctvom naplánovaných úloh a softvéru na vzdialený prístup (AnyDesk, Vzdialená plocha Chrome)
  • Viacstupňové doručovanie malvéru BabyShark
  • Používanie automatizačných nástrojov založených na skriptoch, ako je AutoIt
  • Zneužité zraniteľnosti infraštruktúry odhaľujúce ukradnuté údaje obetí

Záver: Neustále sa vyvíjajúca hrozba

Kampaň BabyShark ilustruje agilnosť spoločnosti Kimsuky vo vývoji techník sociálneho inžinierstva a využívaní legitímneho softvéru a verejnej infraštruktúry na škodlivé účely. Stratégia ClickFix zdôrazňuje, ako útočníci naďalej zneužívajú ľudské správanie rovnako ako zraniteľnosti systémov. Opatrnosť, vrstvené obranné stratégie a vzdelávanie používateľov zostávajú kľúčové pre zmiernenie rizík, ktoré predstavujú takíto sofistikovaní útočníci.

Trendy

Najviac videné

Načítava...