Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) BabyShark Attack-kampanjen

BabyShark Attack-kampanjen

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har avslöjat fortsatta och föränderliga attacker från den nordkoreanska hackergruppen Kimsuky, som använder en avancerad social ingenjörskonsttaktik som kallas ClickFix för att sprida skadlig programvara BabyShark. Dessa kampanjer riktar sig mot nationella säkerhetsexperter och utnyttjar både mänskligt bedrägeri och teknisk smygande för att få långsiktig åtkomst till offrens system.

Rikta in sig på experter med spear-phishing-lockbeten

Hotgruppen Kimsuky har aktivt distribuerat spear-phishing-mejl sedan januari 2025, initialt med fokus på sydkoreanska nationella säkerhetsexperter. Angriparna utger sig för att vara representanter från en legitim tyskspråkig affärstidning och lockar offer med falska intervjuförfrågningar. Dessa mejl innehåller länkar till skadliga RAR-arkiv, som när de öppnas distribuerar ett Visual Basic-skript (VBS). Detta skript startar en Google Docs-fil som lockar fram aktualiteten samtidigt som det i tysthet exekverar kod för att etablera beständighet genom schemalagda uppgifter och stjäla systeminformation.

Vilseledande personas och modifierade ClickFix-varianter

I mars 2025 eskalerade Kimsuky sina ansträngningar genom att utge sig för att vara en högt uppsatt amerikansk nationell säkerhetstjänsteman. De nya nätfiskemejlen innehöll en PDF med en lista med påhittade mötesfrågor och lurade mottagarna att ange en "autentiseringskod" för att få tillgång till förmodat säkert innehåll. Detta representerar ett skifte i ClickFix-metoden, från att åtgärda falska fel till att ange koder, vilket förstärker illusionen av legitimitet.

I april 2025 dök en annan variant upp, den här gången med en utgivning som japansk diplomat och hänvisade till ett föreslaget möte med den japanska ambassadören i USA. Attacken använde återigen en Google Docs-sida för att maskera exekveringen av ett obfuskerat PowerShell-kommando, vilket möjliggjorde fortsatt dataexfiltrering och nyttolastdistribution via ihållande C2-kommunikation.

Att beväpna falska jobbportaler och popup-fönster

I en mer avancerad vändning började Kimsuky använda falska webbplatser som utgav sig för att vara jobbportaler för försvarsforskning. Dessa webbplatser visade falska jobbannonser som, när de klickades på dem, utlöste popup-fönster i ClickFix-stil som uppmanade användarna att öppna Windows Kör-dialogruta och köra ett PowerShell-kommando.
Detta kommando instruerade användarna att installera Chrome Remote Desktop, vilket gav angriparna fullständig fjärråtkomst via SSH genom C2-domänen kida.plusdocs.kro.kr. En felkonfiguration på C2-servern avslöjade exponerad offerdata, som tros ha sitt ursprung i komprometterade sydkoreanska system. Dessutom innehöll en kinesisk IP-adress länkad till denna infrastruktur en keylogging-logg och ett Proton Drive ZIP-arkiv som levererade BabyShark genom en komplex flerstegskedja.

Nya innovationer: Falsk CAPTCHA och AutoIt-distribution

Så sent som i juni 2025 började Kimsuky utnyttja falska Naver CAPTCHA-verifieringssidor. Dessa falska sidor instruerade användare att klistra in PowerShell-kommandon i dialogrutan Kör och körde ett AutoIt-skript som samlade in känslig information. Detta visar ytterligare gruppens adaptiva användning av skriptbaserade verktyg och social ingenjörskonst för att behålla sitt fotfäste i offermiljöer.

Expanderande nätfiskefronter: Akademisk förklädnad och HWP-attacker

Utöver ClickFix har Kimsuky också kopplats till nätfiskekampanjer förklädda till akademisk korrespondens. Dessa e-postmeddelanden verkar vara förfrågningar om att granska en forskningsartikel och innehåller ett lösenordsskyddat HWP-dokument. När det skadliga dokumentet öppnas använder det ett inbäddat OLE-objekt för att köra ett PowerShell-skript. Detta skript utför detaljerad systemrekognoscering och distribuerar AnyDesk, ett legitimt fjärrskrivbordsverktyg, för att upprätthålla permanent fjärråtkomst.

Viktiga slutsatser: Taktik och tekniker i korthet

Kimsukys sociala ingenjörskonstattacker förlitar sig på:

  • Utgivning av identitet som betrodda personer och institutioner (journalister, diplomater, akademiker)
  • Användning av lockbetefiler (Google Dokument, PDF-filer, HWP-dokument) för att maskera skadlig aktivitet
  • Manipulering av användare att köra PowerShell-kommandon genom falska fel, autentiseringsfrågor eller CAPTCHA-sidor

Kampanjens tekniska kännetecken inkluderar :

  • Permanent åtkomst via schemalagda uppgifter och programvara för fjärråtkomst (AnyDesk, Chrome Remote Desktop)
  • Flerstegsleverans av BabyShark-skadlig programvara
  • Användning av skriptbaserade automatiseringsverktyg som AutoIt
  • Utnyttjade infrastruktursårbarheter som exponerar stulna offerdata

Slutsats: Ett ständigt föränderligt hot

BabyShark-kampanjen illustrerar Kimsukys flexibilitet i att utveckla sina sociala ingenjörskonsttekniker och utnyttja legitim programvara och offentlig infrastruktur för skadliga syften. ClickFix-strategin belyser hur hotaktörer fortsätter att utnyttja mänskligt beteende lika mycket som systemsårbarheter. Vaksamhet, försvarsstrategier i flera lager och användarutbildning är fortfarande avgörande för att mildra riskerna som sådana sofistikerade hotaktörer utgör.

Trendigt

Mest sedda

Läser in...