แคมเปญโจมตี BabyShark
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบการโจมตีอย่างต่อเนื่องและพัฒนาขึ้นเรื่อยๆ โดยกลุ่มแฮกเกอร์จากเกาหลีเหนือ Kimsuky ซึ่งใช้กลวิธีทางวิศวกรรมสังคมที่ซับซ้อนที่เรียกว่า ClickFix เพื่อแพร่กระจายมัลแวร์ BabyShark แคมเปญเหล่านี้มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านความมั่นคงแห่งชาติ และใช้ทั้งการหลอกลวงมนุษย์และการแอบแฝงทางเทคนิคเพื่อเข้าถึงระบบของเหยื่อในระยะยาว
สารบัญ
การกำหนดเป้าหมายผู้เชี่ยวชาญด้วยเหยื่อล่อฟิชชิ่งแบบเจาะจง
กลุ่มภัยคุกคาม Kimsuky ได้ส่งอีเมลฟิชชิ่งแบบเจาะจงตั้งแต่เดือนมกราคม 2025 โดยในช่วงแรกจะมุ่งเน้นไปที่ผู้เชี่ยวชาญด้านความมั่นคงแห่งชาติของเกาหลีใต้ ผู้โจมตีปลอมตัวเป็นตัวแทนจากสิ่งพิมพ์ทางธุรกิจภาษาเยอรมันที่ถูกต้องตามกฎหมายและล่อเหยื่อด้วยคำขอสัมภาษณ์ปลอม อีเมลเหล่านี้มีลิงก์ไปยังไฟล์เก็บถาวร RAR ที่เป็นอันตราย ซึ่งเมื่อเปิดแล้วจะใช้สคริปต์ Visual Basic (VBS) สคริปต์นี้จะเปิดไฟล์ Google Docs ปลอมเพื่อให้ดูเหมือนไฟล์ที่ถูกต้องตามกฎหมายในขณะที่ดำเนินการโค้ดอย่างเงียบๆ เพื่อสร้างการคงอยู่ตลอดงานตามกำหนดเวลาและขโมยข้อมูลระบบ
บุคลิกที่หลอกลวงและตัวแปร ClickFix ที่ได้รับการปรับเปลี่ยน
ภายในเดือนมีนาคม 2025 Kimsuky ได้เพิ่มความพยายามด้วยการปลอมตัวเป็นเจ้าหน้าที่ความมั่นคงแห่งชาติระดับสูงของสหรัฐฯ อีเมลฟิชชิ่งใหม่มีไฟล์ PDF ที่มีรายการคำถามในการประชุมที่ปลอมแปลงขึ้นและหลอกให้ผู้รับป้อน "รหัสยืนยันตัวตน" เพื่อเข้าถึงเนื้อหาที่คาดว่าจะปลอดภัย ซึ่งถือเป็นการเปลี่ยนแปลงวิธีการของ ClickFix จากการแก้ไขข้อผิดพลาดปลอมเป็นการป้อนรหัส ซึ่งทำให้มีภาพลวงตาของความถูกต้องมากขึ้น
ในเดือนเมษายน พ.ศ. 2568 มีรูปแบบอื่นเกิดขึ้น โดยคราวนี้แอบอ้างเป็นนักการทูตญี่ปุ่นและอ้างอิงถึงข้อเสนอการประชุมกับเอกอัครราชทูตญี่ปุ่นประจำสหรัฐฯ การโจมตีใช้หน้า Google Docs ปลอมอีกครั้งเพื่อปกปิดการดำเนินการคำสั่ง PowerShell ที่ถูกทำให้สับสน ทำให้สามารถขโมยข้อมูลและปรับใช้เพย์โหลดต่อไปผ่านการสื่อสาร C2 อย่างต่อเนื่อง
การใช้พอร์ทัลงานปลอมและป๊อปอัปเป็นอาวุธ
Kimsuky เริ่มใช้เว็บไซต์ปลอมที่แอบอ้างเป็นพอร์ทัลหางานด้านการป้องกันประเทศ เว็บไซต์เหล่านี้แสดงรายชื่องานปลอม ซึ่งเมื่อคลิกเข้าไปแล้ว จะปรากฏหน้าต่างป็อปอัปแบบ ClickFix เพื่อขอให้ผู้ใช้เปิดกล่องโต้ตอบ Run ของ Windows และดำเนินการคำสั่ง PowerShell
คำสั่งนี้สั่งให้ผู้ใช้ติดตั้ง Chrome Remote Desktop ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงจากระยะไกลได้เต็มรูปแบบผ่าน SSH ผ่านโดเมน C2 ชื่อ kida.plusdocs.kro.kr การกำหนดค่าผิดพลาดบนเซิร์ฟเวอร์ C2 เผยให้เห็นข้อมูลของเหยื่อที่ถูกเปิดเผย ซึ่งเชื่อว่ามาจากระบบของเกาหลีใต้ที่ถูกบุกรุก นอกจากนี้ IP ของจีนที่เชื่อมโยงกับโครงสร้างพื้นฐานนี้ยังมีบันทึกคีย์ล็อกเกอร์และไฟล์ ZIP ของ Proton Drive ที่ส่ง BabyShark ผ่านห่วงโซ่ที่ซับซ้อนหลายขั้นตอน
นวัตกรรมล่าสุด: CAPTCHA ปลอมและการปรับใช้ AutoIt
เมื่อไม่นานนี้ในเดือนมิถุนายน 2025 Kimsuky เริ่มใช้ประโยชน์จากหน้าตรวจสอบ CAPTCHA ปลอมของ Naver หน้าปลอมเหล่านี้จะสั่งให้ผู้ใช้วางคำสั่ง PowerShell ลงในกล่องโต้ตอบ Run เพื่อเรียกใช้สคริปต์ AutoIt ที่รวบรวมข้อมูลที่ละเอียดอ่อน ซึ่งแสดงให้เห็นถึงการใช้เครื่องมือตามสคริปต์และวิศวกรรมสังคมของกลุ่มเพื่อรักษาฐานที่มั่นในสภาพแวดล้อมของเหยื่อ
การขยายแนวรบการฟิชชิ่ง: การปลอมตัวทางวิชาการและการโจมตี HWP
นอกเหนือจาก ClickFix แล้ว Kimsuky ยังถูกเชื่อมโยงกับแคมเปญฟิชชิ่งที่ปลอมตัวเป็นจดหมายทางวิชาการอีกด้วย อีเมลเหล่านี้ดูเหมือนจะเป็นคำขอให้ตรวจสอบเอกสารวิจัยและมีเอกสาร HWP ที่ได้รับการป้องกันด้วยรหัสผ่าน เมื่อเปิดแล้ว เอกสารที่เป็นอันตรายจะใช้ OLE Object ที่ฝังไว้เพื่อเรียกใช้สคริปต์ PowerShell สคริปต์นี้จะทำการตรวจสอบระบบอย่างละเอียดและปรับใช้ AnyDesk ซึ่งเป็นเครื่องมือเดสก์ท็อประยะไกลที่ถูกต้องตามกฎหมาย เพื่อรักษาการเข้าถึงระยะไกลอย่างต่อเนื่อง
สิ่งสำคัญที่ต้องจดจำ: กลยุทธ์และเทคนิคโดยสังเขป
การโจมตีทางวิศวกรรมสังคมของ Kimsuky อาศัย:
- การแอบอ้างตัวเป็นบุคคลและสถาบันที่น่าเชื่อถือ (นักข่าว นักการทูต นักวิชาการ)
- การใช้ไฟล์ล่อลวง (Google Docs, PDFs, เอกสาร HWP) เพื่อปกปิดกิจกรรมที่เป็นอันตราย
- การจัดการผู้ใช้ในการเรียกใช้คำสั่ง PowerShell ผ่านทางข้อผิดพลาดปลอม การแจ้งเตือนการรับรองความถูกต้อง หรือหน้า CAPTCHA
เครื่องหมายทางเทคนิคของแคมเปญประกอบด้วย :
- การเข้าถึงอย่างต่อเนื่องผ่านงานตามกำหนดเวลาและซอฟต์แวร์การเข้าถึงระยะไกล (AnyDesk, Chrome Remote Desktop)
- การส่งมอบมัลแวร์ BabyShark หลายขั้นตอน
- การใช้เครื่องมืออัตโนมัติตามสคริปต์ เช่น AutoIt
- ช่องโหว่โครงสร้างพื้นฐานที่ถูกใช้ประโยชน์ทำให้ข้อมูลของเหยื่อที่ถูกขโมยถูกเปิดเผย
บทสรุป: ภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลา
แคมเปญ BabyShark แสดงให้เห็นถึงความคล่องตัวของ Kimsuky ในการพัฒนาเทคนิคทางวิศวกรรมสังคมและใช้ประโยชน์จากซอฟต์แวร์ที่ถูกต้องตามกฎหมายและโครงสร้างพื้นฐานสาธารณะเพื่อจุดประสงค์ที่เป็นอันตราย กลยุทธ์ ClickFix เน้นย้ำว่าผู้ก่อภัยคุกคามยังคงใช้ประโยชน์จากพฤติกรรมของมนุษย์และช่องโหว่ของระบบ การเฝ้าระวัง กลยุทธ์การป้องกันแบบหลายชั้น และการศึกษาผู้ใช้ยังคงมีความสำคัญต่อการลดความเสี่ยงที่เกิดจากผู้ก่อภัยคุกคามที่ซับซ้อนดังกล่าว
