Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Fushata e Sulmit të BabyShark

Fushata e Sulmit të BabyShark

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar sulme të vazhdueshme dhe në zhvillim e sipër nga grupi i hakerave të Koresë së Veriut Kimsuky, të cilët po përdorin një taktikë të përpunuar të inxhinierisë sociale të njohur si ClickFix për të përhapur malware-in BabyShark. Këto fushata synojnë ekspertët e sigurisë kombëtare dhe shfrytëzojnë si mashtrimin njerëzor ashtu edhe fshehtësinë teknike për të fituar akses afatgjatë në sistemet e viktimave.

Synimi i ekspertëve me karrem phishing me shtizë

Grupi i kërcënimeve Kimsuky ka përdorur në mënyrë aktive email-e spear-phishing që nga janari i vitit 2025, duke u përqendruar fillimisht te ekspertët e sigurisë kombëtare të Koresë së Jugut. Sulmuesit maskohen si përfaqësues nga një botim legjitim biznesi në gjuhën gjermane dhe i joshin viktimat me kërkesa të rreme për intervista. Këto email-e përmbajnë lidhje me arkiva keqdashëse RAR, të cilat, pasi hapen, vendosin një Skript Visual Basic (VBS). Ky skript nis një skedar mashtrues Google Docs për t'u dukur legjitim, ndërsa ekzekuton në heshtje kodin për të vendosur qëndrueshmëri përmes detyrave të planifikuara dhe për të vjedhur informacionin e sistemit.

Personat mashtrues dhe variantet e modifikuara të ClickFix

Deri në mars të vitit 2025, Kimsuky përshkallëzoi përpjekjet e saj duke u shtirur si një zyrtar i lartë i sigurisë kombëtare të SHBA-së. Emailet e reja të phishing-ut përmbanin një PDF me një listë pyetjesh të sajuara takimi dhe i mashtronin marrësit që të futnin një 'kod autentifikimi' për të hyrë në përmbajtje të supozuar të sigurt. Kjo përfaqëson një ndryshim në metodën ClickFix, nga rregullimi i gabimeve të rreme në futjen e kodeve, duke rritur iluzionin e legjitimitetit.

Në prill të vitit 2025, u shfaq një variant tjetër, këtë herë duke u imituar si një diplomat japonez dhe duke iu referuar një takimi të propozuar me ambasadorin japonez në SHBA. Sulmi përdori përsëri një faqe mashtruese të Google Docs për të maskuar ekzekutimin e një komande të paqartë PowerShell, duke lejuar nxjerrjen e vazhdueshme të të dhënave dhe vendosjen e ngarkesës nëpërmjet komunikimit të vazhdueshëm C2.

Përdorimi i Portaleve dhe Hapësirave të Rreme të Punësimit si të Armatosura

Në një kthesë më të hollësishme, Kimsuky filloi të përdorte faqe interneti të rreme që imitonin portale pune në kërkimin në mbrojtje. Këto faqe shfaqnin lista të rreme pune të cilat, kur klikoheshin, aktivizonin dritare pop-up në stilin ClickFix duke i nxitur përdoruesit të hapnin dialogun Run të Windows dhe të ekzekutonin një komandë PowerShell.
Ky komandë i drejtoi përdoruesit të instalonin Chrome Remote Desktop, duke u dhënë sulmuesve akses të plotë në distancë nëpërmjet SSH përmes domenit C2 kida.plusdocs.kro.kr. Një konfigurim i gabuar në serverin C2 zbuloi të dhëna të ekspozuara të viktimave, që besohet se kishin origjinën nga sisteme të kompromentuara të Koresë së Jugut. Përveç kësaj, një IP kinez i lidhur me këtë infrastrukturë përmbante një regjistër të regjistrimit të çelësave dhe një arkiv ZIP të Proton Drive që ofronte BabyShark përmes një zinxhiri kompleks shumëfazor.

Inovacionet e fundit: CAPTCHA e rreme dhe vendosja e AutoIt

Kohët e fundit, në qershor të vitit 2025, Kimsuky filloi të shfrytëzonte faqet e rreme të verifikimit Naver CAPTCHA. Këto faqe të rreme i udhëzonin përdoruesit të ngjisnin komandat PowerShell në dialogun Run, duke ekzekutuar një skript AutoIt që mblidhte informacione të ndjeshme. Kjo demonstron më tej përdorimin adaptiv të grupit të mjeteve të bazuara në skripte dhe inxhinierisë sociale për të ruajtur pozicionin e tyre në mjediset e viktimave.

Zgjerimi i fronteve të Phishing-ut: Maskimi Akademik dhe Sulmet HWP

Përtej ClickFix, Kimsuky është lidhur edhe me fushata phishing të maskuara si korrespondencë akademike. Këto email-e duket se janë kërkesa për të shqyrtuar një punim kërkimor dhe përfshijnë një dokument HWP të mbrojtur me fjalëkalim. Pasi të hapet, dokumenti keqdashës shfrytëzon një objekt OLE të integruar për të ekzekutuar një skript PowerShell. Ky skript kryen zbulim të detajuar të sistemit dhe vendos AnyDesk, një mjet legjitim për desktopin në distancë, për të ruajtur akses të vazhdueshëm në distancë.

Përmbledhje kryesore: Taktikat dhe teknikat me një vështrim

Sulmet e inxhinierisë sociale të Kimsuky-t mbështeten në:

  • Imitimi i figurave dhe institucioneve të besuara (gazetarë, diplomatë, akademikë)
  • Përdorimi i skedarëve mashtrues (Google Docs, PDF, dokumente HWP) për të maskuar aktivitetin keqdashës
  • Manipulimi i përdoruesve për të ekzekutuar komandat PowerShell përmes gabimeve të rreme, kërkesave të vërtetimit ose faqeve CAPTCHA

Karakteristikat teknike të fushatës përfshijnë :

  • Qasje e vazhdueshme nëpërmjet detyrave të planifikuara dhe softuerit të qasjes në distancë (AnyDesk, Chrome Remote Desktop)
  • Shpërndarja shumëfazore e malware-it BabyShark
  • Përdorimi i mjeteve të automatizimit të bazuara në skripte si AutoIt
  • Dobësitë e shfrytëzuara të infrastrukturës që ekspozojnë të dhënat e vjedhura të viktimave

Përfundim: Një kërcënim në zhvillim të vazhdueshëm

Fushata BabyShark ilustron shkathtësinë e Kimsuky-t në zhvillimin e teknikave të tyre të inxhinierisë sociale dhe shfrytëzimin e softuerëve legjitimë dhe infrastrukturës publike për qëllime dashakeqe. Strategjia ClickFix thekson se si aktorët kërcënues vazhdojnë të shfrytëzojnë sjelljen njerëzore po aq sa dobësitë e sistemit. Vigjilenca, strategjitë e mbrojtjes së shtresuar dhe edukimi i përdoruesve mbeten thelbësore për zbutjen e rreziqeve që paraqesin aktorë të tillë të sofistikuar kërcënues.

Në trend

Më e shikuara

Po ngarkohet...