Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) Кампања напада БејбиШарка

Кампања напада БејбиШарка

До Mezo. у Напредна трајна претња (АПТ), Малваре
Преведи на:

Истраживачи сајбер безбедности открили су континуиране и еволуирајуће нападе севернокорејске хакерске групе Кимсуки, која користи сложену тактику социјалног инжењеринга познату као КликФикс за ширење злонамерног софтвера БејбиШарк. Ове кампање циљају стручњаке за националну безбедност и користе људску обману и техничку прикривеност како би добиле дугорочни приступ системима жртава.

Циљање стручњака мамацима за фишинг

Група за претње „Кимсуки“ активно шаље фишинг имејлове од јануара 2025. године, првобитно се фокусирајући на јужнокорејске стручњаке за националну безбедност. Нападачи се маскирају као представници легитимне пословне публикације на немачком језику и маме жртве лажним захтевима за интервју. Ови имејлови садрже линкове до злонамерних RAR архива, које, након отварања, покрећу Visual Basic Script (VBS). Овај скрипт покреће мамац за Google Docs датотеку како би изгледала легитимно, док тихо извршава код како би успоставила постојаност кроз заказане задатке и украла системске информације.

Обмањујуће персоне и модификоване варијанте ClickFix-а

До марта 2025. године, Кимсуки је ескалирао своје напоре представљајући се као високорангирани званичник америчке националне безбедности. Нови фишинг имејлови су садржали ПДФ са листом измишљених питања за састанак и преварили су примаоце да унесу „код за аутентификацију“ како би приступили наводно безбедном садржају. Ово представља помак у методи ClickFix, од исправљања лажних грешака до уношења кодова, појачавајући илузију легитимитета.

У априлу 2025. године појавила се још једна варијанта, овог пута лажно представљајући јапанског дипломату и позивајући се на предложени састанак са јапанским амбасадором у САД. Напад је поново користио мамац као страницу Google докумената како би прикрио извршење замаскиране PowerShell команде, омогућавајући континуирано крађе података и распоређивање корисног терета путем перзистентне C2 комуникације.

Коришћење лажних портала за посао и искачућих прозора као оружје

У сложенијем обрту, Кимсуки је почео да користи лажне веб странице које су се представљале као портали за послове у области одбране. Ове странице су приказивале лажне огласе за посао који су, када се на њих кликне, покретали искачуће прозоре у стилу ClickFix-а који су позивали кориснике да отворе дијалог „Покрени“ у систему Windows и изврше PowerShell команду.
Ова команда је налагала корисницима да инсталирају Chrome Remote Desktop, дајући нападачима потпуни даљински приступ путем SSH-а преко C2 домена kida.plusdocs.kro. Погрешна конфигурација на C2 серверу открила је откривене податке жртве, за које се верује да потичу из компромитованих јужнокорејских система. Поред тога, кинеска IP адреса повезана са овом инфраструктуром садржала је дневник кључева и ZIP архиву Proton Drive-а која је испоручивала BabyShark кроз сложени вишестепени ланац.

Недавне иновације: Лажна CAPTCHA и имплементација AutoIt-а

Тек у јуну 2025. године, Кимсуки је почео да експлоатише лажне Naver CAPTCHA странице за верификацију. Ове лажне странице су налагале корисницима да налепе PowerShell команде у дијалог „Покрени“, извршавајући AutoIt скрипту која је прикупљала осетљиве информације. Ово додатно показује адаптивну употребу алата заснованих на скриптама и друштвеног инжењеринга од стране групе како би одржала своје упориште у окружењима жртава.

Ширење фронтова фишинга: Академска маска и напади здравог вештачког менаџмента

Поред ClickFix-а, Kimsuky је такође повезан са фишинг кампањама прикривеним као академска преписка. Ови имејлови изгледају као захтеви за преглед истраживачког рада и укључују HWP документ заштићен лозинком. Након отварања, злонамерни документ користи уграђени OLE објекат за покретање PowerShell скрипте. Ова скрипта врши детаљно извиђање система и распоређује AnyDesk, легитимни алат за удаљену радну површину, како би се одржао трајан удаљени приступ.

Кључне закључке: Тактике и технике на први поглед

Кимсукијеви напади социјалног инжењеринга ослањају се на:

  • Лажно представљање поузданих личности и институција (новинари, дипломате, академици)
  • Коришћење мамаца (Google документи, PDF-ови, HWP документи) за маскирање злонамерних активности
  • Манипулација корисницима да покрећу PowerShell команде путем лажних грешака, упита за аутентификацију или CAPTCHA страница

Техничке карактеристике кампање укључују :

  • Трајни приступ путем заказаних задатака и софтвера за даљински приступ (AnyDesk, Chrome Remote Desktop)
  • Вишестепена испорука злонамерног софтвера BabyShark
  • Коришћење алата за аутоматизацију заснованих на скриптама као што је AutoIt
  • Искоришћене рањивости инфраструктуре откривају украдене податке жртава

Закључак: Стално еволуирајућа претња

Кампања BabyShark илуструје Kimsuky-јеву агилност у развијању техника друштвеног инжењеринга и коришћењу легитимног софтвера и јавне инфраструктуре у злонамерне сврхе. ClickFix стратегија истиче како актери претњи настављају да искоришћавају људско понашање колико и системске рањивости. Будност, слојевите стратегије одбране и едукација корисника остају кључне за ублажавање ризика које представљају такви софистицирани актери претњи.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,407
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...