பேபிஷார்க் தாக்குதல் பிரச்சாரம்

வட கொரிய ஹேக்கர் குழுவான கிம்சுகியின் தொடர்ச்சியான மற்றும் வளர்ந்து வரும் தாக்குதல்களை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர், அவர்கள் BabyShark தீம்பொருளைப் பரப்ப ClickFix எனப்படும் விரிவான சமூக பொறியியல் தந்திரோபாயத்தைப் பயன்படுத்துகின்றனர். இந்தப் பிரச்சாரங்கள் தேசிய பாதுகாப்பு நிபுணர்களை குறிவைத்து, பாதிக்கப்பட்ட அமைப்புகளுக்கு நீண்டகால அணுகலைப் பெற மனித ஏமாற்று மற்றும் தொழில்நுட்ப திருட்டுத்தனம் இரண்டையும் பயன்படுத்துகின்றன.

ஈட்டி-ஃபிஷிங் கவர்ச்சிகளைப் பயன்படுத்தி நிபுணர்களை குறிவைத்தல்

கிம்சுகி அச்சுறுத்தல் குழு ஜனவரி 2025 முதல் ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களை தீவிரமாகப் பயன்படுத்தி வருகிறது, ஆரம்பத்தில் தென் கொரிய தேசிய பாதுகாப்பு நிபுணர்களை மையமாகக் கொண்டது. தாக்குதல் நடத்தியவர்கள் ஒரு சட்டப்பூர்வமான ஜெர்மன் மொழி வணிக வெளியீட்டின் பிரதிநிதிகளாக வேடமிட்டு, போலி நேர்காணல் கோரிக்கைகளுடன் பாதிக்கப்பட்டவர்களை கவர்ந்திழுக்கின்றனர். இந்த மின்னஞ்சல்களில் தீங்கிழைக்கும் RAR காப்பகங்களுக்கான இணைப்புகள் உள்ளன, அவை திறக்கப்பட்டதும், ஒரு விஷுவல் பேசிக் ஸ்கிரிப்டை (VBS) பயன்படுத்துகின்றன. திட்டமிடப்பட்ட பணிகள் மூலம் நிலைத்தன்மையை நிறுவவும், கணினித் தகவலைத் திருடவும் குறியீட்டை அமைதியாக செயல்படுத்தும் அதே வேளையில், சட்டப்பூர்வமாகத் தோன்றும் வகையில் ஒரு ஏமாற்று கூகிள் டாக்ஸ் கோப்பை இந்த ஸ்கிரிப்ட் தொடங்குகிறது.

ஏமாற்றும் நபர்கள் மற்றும் மாற்றியமைக்கப்பட்ட கிளிக்ஃபிக்ஸ் வகைகள்

மார்ச் 2025 வாக்கில், கிம்சுகி ஒரு உயர் பதவியில் இருக்கும் அமெரிக்க தேசிய பாதுகாப்பு அதிகாரியைப் போல ஆள்மாறாட்டம் செய்து தனது முயற்சிகளை தீவிரப்படுத்தினார். புதிய ஃபிஷிங் மின்னஞ்சல்களில் ஜோடிக்கப்பட்ட சந்திப்பு கேள்விகளின் பட்டியல் கொண்ட PDF இடம்பெற்றிருந்தது, மேலும் பாதுகாப்பான உள்ளடக்கத்தை அணுக 'அங்கீகாரக் குறியீட்டை' உள்ளிடுமாறு பெறுநர்களை ஏமாற்றியது. இது ClickFix முறையில் ஒரு மாற்றத்தைக் குறிக்கிறது, போலி பிழைகளை சரிசெய்வதில் இருந்து குறியீடுகளை உள்ளிடுவது வரை, இது சட்டபூர்வமான மாயையை அதிகரிக்கிறது.

ஏப்ரல் 2025 இல், மற்றொரு மாறுபாடு வெளிப்பட்டது, இந்த முறை ஒரு ஜப்பானிய தூதரை ஆள்மாறாட்டம் செய்து, அமெரிக்காவிற்கான ஜப்பானிய தூதருடனான ஒரு முன்மொழியப்பட்ட சந்திப்பைக் குறிப்பிடுகிறது. இந்தத் தாக்குதல் மீண்டும் ஒரு ஏமாற்று கூகிள் டாக்ஸ் பக்கத்தைப் பயன்படுத்தி, தெளிவற்ற பவர்ஷெல் கட்டளையின் செயல்பாட்டை மறைத்து, தொடர்ச்சியான C2 தொடர்பு மூலம் தரவு வெளியேற்றம் மற்றும் பேலோட் வரிசைப்படுத்தலை அனுமதித்தது.

போலி வேலை இணையதளங்கள் மற்றும் பாப்-அப்களை ஆயுதபாணியாக்குதல்

மிகவும் விரிவான திருப்பமாக, கிம்சுகி பாதுகாப்பு ஆராய்ச்சி வேலை போர்டல்களைப் போல ஆள்மாறாட்டம் செய்யும் போலி வலைத்தளங்களைப் பயன்படுத்தத் தொடங்கினார். இந்த தளங்கள் போலியான வேலைப் பட்டியல்களைக் காட்டின, அவை கிளிக் செய்யப்பட்டபோது, பயனர்கள் Windows Run உரையாடலைத் திறந்து PowerShell கட்டளையை இயக்குமாறு வலியுறுத்தும் ClickFix-பாணி பாப்-அப்களைத் தூண்டின.
இந்தக் கட்டளை பயனர்களை Chrome ரிமோட் டெஸ்க்டாப்பை நிறுவுமாறு அறிவுறுத்தியது, இது தாக்குபவர்களுக்கு C2 டொமைன் kida.plusdocs.kro.kr மூலம் SSH வழியாக முழு ரிமோட் அணுகலை வழங்கியது. C2 சர்வரில் ஒரு தவறான உள்ளமைவு, தென் கொரிய அமைப்புகளிலிருந்து தோன்றியதாக நம்பப்படும் பாதிக்கப்பட்ட தரவுகளை அம்பலப்படுத்தியது. கூடுதலாக, இந்த உள்கட்டமைப்போடு இணைக்கப்பட்ட ஒரு சீன ஐபி முகவரி, ஒரு கீலாக்கிங் பதிவு மற்றும் சிக்கலான பல-நிலை சங்கிலி மூலம் பேபிஷார்க்கை வழங்கும் புரோட்டான் டிரைவ் ஜிப் காப்பகத்தைக் கொண்டிருந்தது.

சமீபத்திய கண்டுபிடிப்புகள்: போலி CAPTCHA மற்றும் AutoIt வரிசைப்படுத்தல்

ஜூன் 2025 இல், கிம்சுகி போலியான நேவர் கேப்ட்சா சரிபார்ப்புப் பக்கங்களைப் பயன்படுத்தத் தொடங்கினார். இந்தப் போலிப் பக்கங்கள் பயனர்களுக்கு பவர்ஷெல் கட்டளைகளை ரன் உரையாடலில் ஒட்டுமாறு அறிவுறுத்தின, இது முக்கியமான தகவல்களைச் சேகரிக்கும் ஆட்டோஇட் ஸ்கிரிப்டை இயக்குகிறது. பாதிக்கப்பட்ட சூழல்களில் தங்கள் காலடியைப் பராமரிக்க ஸ்கிரிப்ட் அடிப்படையிலான கருவிகள் மற்றும் சமூக பொறியியலின் தகவமைப்புப் பயன்பாட்டை இது மேலும் நிரூபிக்கிறது.

ஃபிஷிங் முனைகளை விரிவுபடுத்துதல்: கல்வி மாறுவேடம் மற்றும் HWP தாக்குதல்கள்

ClickFix-ஐத் தாண்டி, கல்விசார் கடிதப் போக்குவரத்து போல மாறுவேடமிட்ட ஃபிஷிங் பிரச்சாரங்களுடனும் Kimsuky இணைக்கப்பட்டுள்ளது. இந்த மின்னஞ்சல்கள் ஒரு ஆராய்ச்சிக் கட்டுரையை மதிப்பாய்வு செய்வதற்கான கோரிக்கைகளாகவும், கடவுச்சொல் பாதுகாக்கப்பட்ட HWP ஆவணத்தை உள்ளடக்கியதாகவும் தெரிகிறது. திறந்தவுடன், தீங்கிழைக்கும் ஆவணம் PowerShell ஸ்கிரிப்டை இயக்க உட்பொதிக்கப்பட்ட OLE பொருளைப் பயன்படுத்துகிறது. இந்த ஸ்கிரிப்ட் விரிவான கணினி உளவுத்துறையை நடத்துகிறது மற்றும் தொடர்ச்சியான தொலைநிலை அணுகலைப் பராமரிக்க ஒரு முறையான தொலைநிலை டெஸ்க்டாப் கருவியான AnyDesk ஐப் பயன்படுத்துகிறது.

முக்கிய குறிப்புகள்: தந்திரோபாயங்கள் மற்றும் நுட்பங்களை ஒரு பார்வையில்

கிம்சுகியின் சமூக பொறியியல் தாக்குதல்கள் இவற்றைச் சார்ந்துள்ளன:

• நம்பகமான நபர்கள் மற்றும் நிறுவனங்களின் (பத்திரிகையாளர்கள், இராஜதந்திரிகள், கல்வியாளர்கள்) ஆள்மாறாட்டம்.
• தீங்கிழைக்கும் செயல்பாட்டை மறைக்க ஏமாற்று கோப்புகளை (Google Docs, PDFகள், HWP ஆவணங்கள்) பயன்படுத்துதல்.
• போலி பிழைகள், அங்கீகாரத் தூண்டுதல்கள் அல்லது CAPTCHA பக்கங்கள் மூலம் பயனர்களை PowerShell கட்டளைகளை இயக்குவதில் கையாளுதல்.

பிரச்சாரத்தின் தொழில்நுட்ப அடையாளங்கள் பின்வருமாறு :

• திட்டமிடப்பட்ட பணிகள் மற்றும் தொலைநிலை அணுகல் மென்பொருள் (AnyDesk, Chrome தொலைநிலை டெஸ்க்டாப்) வழியாக தொடர்ச்சியான அணுகல்.
• BabyShark தீம்பொருளின் பல கட்ட விநியோகம்
• ஆட்டோஇட் போன்ற ஸ்கிரிப்ட் அடிப்படையிலான ஆட்டோமேஷன் கருவிகளைப் பயன்படுத்துதல்
• திருடப்பட்ட பாதிக்கப்பட்ட தரவுகளை அம்பலப்படுத்தும் சுரண்டப்பட்ட உள்கட்டமைப்பு பாதிப்புகள்

முடிவு: தொடர்ந்து உருவாகி வரும் அச்சுறுத்தல்

பேபிஷார்க் பிரச்சாரம், கிம்சுகியின் சமூக பொறியியல் நுட்பங்களை மேம்படுத்துவதிலும், தீங்கிழைக்கும் நோக்கங்களுக்காக முறையான மென்பொருள் மற்றும் பொது உள்கட்டமைப்பைப் பயன்படுத்துவதிலும் உள்ள சுறுசுறுப்பை விளக்குகிறது. ClickFix உத்தி, அச்சுறுத்தல் நடிகர்கள் மனித நடத்தையை எவ்வாறு கணினி பாதிப்புகளைப் போலவே தொடர்ந்து சுரண்டுகிறார்கள் என்பதை எடுத்துக்காட்டுகிறது. இத்தகைய அதிநவீன அச்சுறுத்தல் நடிகர்களால் ஏற்படும் அபாயங்களைக் குறைப்பதற்கு விழிப்புணர்வு, அடுக்கு பாதுகாப்பு உத்திகள் மற்றும் பயனர் கல்வி ஆகியவை முக்கியமானவை.