Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Kampanja napada BabyShark

Kampanja napada BabyShark

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili nenehne in razvijajoče se napade severnokorejske hekerske skupine Kimsuky, ki za širjenje zlonamerne programske opreme BabyShark uporablja dovršeno taktiko socialnega inženiringa, znano kot ClickFix. Te kampanje so usmerjene na strokovnjake za nacionalno varnost in izkoriščajo tako človeško prevaro kot tehnično prikritost, da bi pridobile dolgoročni dostop do sistemov žrtev.

Ciljanje strokovnjakov z vabami za lažno predstavljanje

Skupina Kimsuky aktivno uporablja lažna e-poštna sporočila od januarja 2025, sprva pa se osredotoča na južnokorejske strokovnjake za nacionalno varnost. Napadalci se pretvarjajo, da so predstavniki legitimne nemško govoreče poslovne publikacije, in žrtve privabljajo z lažnimi prošnjami za intervju. Ta e-poštna sporočila vsebujejo povezave do zlonamernih arhivov RAR, ki po odprtju namestijo skript Visual Basic (VBS). Ta skript zažene lažno datoteko Google Dokumentov, ki se zdi legitimna, hkrati pa tiho izvaja kodo za vzpostavitev trajnosti prek načrtovanih opravil in krajo sistemskih informacij.

Zavajajoče persone in spremenjene različice ClickFixa

Do marca 2025 je Kimsuky stopnjeval svoja prizadevanja z lažnim predstavljanjem visokega uradnika ameriške nacionalne varnosti. Nova lažna e-poštna sporočila so vsebovala PDF s seznamom izmišljenih vprašanj za sestanek in prejemnike so zavajala, da so vnesli »kodo za preverjanje pristnosti« za dostop do domnevno varne vsebine. To predstavlja premik v metodi ClickFix, od popravljanja lažnih napak k vnosu kod, kar krepi iluzijo legitimnosti.

Aprila 2025 se je pojavila še ena različica, tokrat se je izdajala za japonskega diplomata in se sklicevala na predlagano srečanje z japonskim veleposlanikom v ZDA. Napad je ponovno uporabil vabljivo stran Google Dokumentov, da bi prikril izvajanje zakritega ukaza PowerShell, kar je omogočilo nadaljnje izkrcanje podatkov in nameščanje koristnega tovora prek trajne komunikacije C2.

Orožje za lažne portale za zaposlitev in pojavna okna

V bolj dovršenem preobratu je Kimsuky začel uporabljati lažna spletna mesta, ki so se izdajala za portale za zaposlitev na področju obrambnih raziskav. Ta spletna mesta so prikazovala lažne oglase za delovna mesta, ki so ob kliku sprožila pojavna okna v slogu ClickFixa, ki so uporabnike pozivala, naj odprejo pogovorno okno Zaženi v sistemu Windows in izvedejo ukaz PowerShell.
Ta ukaz je uporabnike usmeril k namestitvi oddaljenega namizja Chrome, kar je napadalcem omogočilo poln oddaljeni dostop prek SSH prek domene C2 kida.plusdocs.kro. Napačna konfiguracija strežnika C2 je razkrila izpostavljene podatke žrtve, za katere se domneva, da izvirajo iz ogroženih južnokorejskih sistemov. Poleg tega je kitajski IP-naslov, povezan s to infrastrukturo, vseboval dnevnik beleženja tipk in arhiv ZIP Proton Drive, ki je dostavljal BabyShark prek zapletene večstopenjske verige.

Nedavne inovacije: Lažna CAPTCHA in uvedba AutoIt

Še junija 2025 je Kimsuky začel izkoriščati lažne strani za preverjanje Naver CAPTCHA. Te lažne strani so uporabnike naročile, naj v pogovorno okno Zaženi prilepijo ukaze PowerShell, s čimer so izvedli skript AutoIt, ki je zbiral občutljive podatke. To dodatno dokazuje prilagodljivo uporabo orodij, ki temeljijo na skriptih, in socialnega inženiringa s strani skupine za ohranitev svojega položaja v okoljih žrtev.

Širjenje front lažnega predstavljanja: akademska preobleka in napadi HWP

Poleg ClickFixa je bil Kimsuky povezan tudi s phishing kampanjami, prikritimi kot akademska korespondenca. Zdi se, da so ta e-poštna sporočila zahteve za pregled raziskovalnega članka in vključujejo dokument HWP, zaščiten z geslom. Ko ga zlonamerni dokument odpre, uporabi vdelani objekt OLE za zagon skripta PowerShell. Ta skript izvede podrobno izvidovanje sistema in namesti AnyDesk, legitimno orodje za oddaljeni dostop, za vzdrževanje trajnega oddaljenega dostopa.

Ključne ugotovitve: Taktike in tehnike na prvi pogled

Kimsukyjevi napadi socialnega inženiringa temeljijo na:

  • Predstavljanje za zaupanja vredne osebnosti in institucije (novinarji, diplomati, akademiki)
  • Uporaba vabljivih datotek (Google Dokumenti, PDF-ji, dokumenti HWP) za prikrivanje zlonamerne dejavnosti
  • Manipulacija uporabnikov, da izvajajo ukaze PowerShell, prek lažnih napak, pozivov za preverjanje pristnosti ali strani CAPTCHA

Tehnične značilnosti kampanje vključujejo :

  • Stalen dostop prek načrtovanih opravil in programske opreme za oddaljeni dostop (AnyDesk, Chrome Remote Desktop)
  • Večstopenjska dostava zlonamerne programske opreme BabyShark
  • Uporaba orodij za avtomatizacijo, ki temeljijo na skriptih, kot je AutoIt
  • Izkoriščene ranljivosti infrastrukture, ki razkrivajo ukradene podatke žrtev

Zaključek: Nenehno razvijajoča se grožnja

Kampanja BabyShark ponazarja Kimsukyjevo agilnost pri razvijanju tehnik socialnega inženiringa in izkoriščanju legitimne programske opreme in javne infrastrukture za zlonamerne namene. Strategija ClickFix poudarja, kako akterji grožnje še naprej izkoriščajo človeško vedenje v enaki meri kot ranljivosti sistema. Budnost, večplastne obrambne strategije in izobraževanje uporabnikov ostajajo ključni za zmanjševanje tveganj, ki jih predstavljajo tako prefinjeni akterji grožnje.

V trendu

Najbolj gledan

Nalaganje...