Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) BabyShark Saldırı Kampanyası

BabyShark Saldırı Kampanyası

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:

Siber güvenlik araştırmacıları, BabyShark kötü amaçlı yazılımını yaymak için ClickFix olarak bilinen ayrıntılı bir sosyal mühendislik taktiği kullanan Kuzey Koreli hacker grubu Kimsuky tarafından devam eden ve gelişen saldırıları ortaya çıkardı. Bu kampanyalar ulusal güvenlik uzmanlarını hedef alıyor ve kurban sistemlerine uzun vadeli erişim elde etmek için hem insan aldatmacasını hem de teknik gizliliği kullanıyor.

Uzmanları Spear-Phishing Yemleriyle Hedefleme

Kimsuky tehdit grubu, Ocak 2025'ten beri aktif olarak spear-phishing e-postaları dağıtıyor ve başlangıçta Güney Kore ulusal güvenlik uzmanlarına odaklanıyor. Saldırganlar, meşru bir Almanca iş yayınının temsilcileri gibi davranıyor ve kurbanları sahte röportaj talepleriyle kandırıyor. Bu e-postalar, açıldığında bir Visual Basic Script (VBS) dağıtan kötü amaçlı RAR arşivlerine bağlantılar içeriyor. Bu betik, zamanlanmış görevler aracılığıyla kalıcılık sağlamak ve sistem bilgilerini çalmak için sessizce kod yürütürken meşru görünmek için bir sahte Google Docs dosyası başlatıyor.

Aldatıcı Kişilikler ve Değiştirilmiş ClickFix Varyantları

Mart 2025'e kadar Kimsuky, üst düzey bir ABD ulusal güvenlik yetkilisini taklit ederek çabalarını artırdı. Yeni kimlik avı e-postaları, uydurma toplantı sorularının bir listesini içeren bir PDF içeriyordu ve alıcıları sözde güvenli içeriğe erişmek için bir 'kimlik doğrulama kodu' girmeye kandırıyordu. Bu, ClickFix yönteminde sahte hataları düzeltmekten kod girmeye doğru bir değişimi temsil ediyor ve meşruiyet yanılsamasını artırıyor.

Nisan 2025'te, bu kez bir Japon diplomatını taklit eden ve ABD'deki Japonya büyükelçisiyle yapılması önerilen bir toplantıya atıfta bulunan başka bir varyant ortaya çıktı. Saldırıda, yine gizlenmiş bir PowerShell komutunun yürütülmesini maskelemek için sahte bir Google Dokümanlar sayfası kullanıldı ve bu sayede kalıcı C2 iletişimi yoluyla sürekli veri sızdırma ve yük dağıtımı sağlandı.

Sahte İş Portalları ve Pop-Up’ların Silah Olarak Kullanılması

Daha ayrıntılı bir şekilde, Kimsuky savunma araştırma iş portallarını taklit eden sahte web siteleri kullanmaya başladı. Bu siteler, tıklandığında kullanıcıları Windows Çalıştır iletişim kutusunu açmaya ve bir PowerShell komutu yürütmeye teşvik eden ClickFix tarzı açılır pencereleri tetikleyen sahte iş ilanları gösterdi.
Bu komut, kullanıcıları Chrome Remote Desktop'ı yüklemeye yönlendirdi ve saldırganlara C2 etki alanı kida.plusdocs.kro.kr üzerinden SSH aracılığıyla tam uzaktan erişim sağladı. C2 sunucusundaki bir yanlış yapılandırma, Güney Kore sistemlerinden kaynaklandığı düşünülen ifşa edilmiş kurban verilerini ortaya çıkardı. Ek olarak, bu altyapıya bağlı bir Çin IP'si, BabyShark'ı karmaşık çok aşamalı bir zincir üzerinden ileten bir keylogging günlüğü ve bir Proton Drive ZIP arşivi içeriyordu.

Son Yenilikler: Sahte CAPTCHA ve AutoIt Dağıtımı

Haziran 2025'te Kimsuky sahte Naver CAPTCHA doğrulama sayfalarını kullanmaya başladı. Bu sahte sayfalar kullanıcılara PowerShell komutlarını Çalıştır iletişim kutusuna yapıştırmaları talimatını vererek hassas bilgileri toplayan bir AutoIt betiğini çalıştırıyordu. Bu, grubun kurban ortamlarındaki tutunmalarını sürdürmek için betik tabanlı araçları ve sosyal mühendisliği uyarlanabilir bir şekilde kullandığını daha da gösteriyor.

Genişleyen Kimlik Avı Cepheleri: Akademik Kılık Değiştirme ve HWP Saldırıları

ClickFix'in ötesinde, Kimsuky akademik yazışmalar kisvesi altında kimlik avı kampanyalarıyla da ilişkilendirildi. Bu e-postalar bir araştırma makalesini inceleme talepleri gibi görünüyor ve parola korumalı bir HWP belgesi içeriyor. Kötü amaçlı belge açıldığında, bir PowerShell betiğini çalıştırmak için gömülü bir OLE nesnesinden yararlanıyor. Bu betik ayrıntılı sistem keşfi yürütüyor ve kalıcı uzaktan erişimi sürdürmek için meşru bir uzak masaüstü aracı olan AnyDesk'i dağıtıyor.

Önemli Noktalar: Taktikler ve Teknikler Bir Bakışta

Kimsuky'nin sosyal mühendislik saldırıları şunlara dayanmaktadır:

  • Güvenilir şahsiyet ve kurumların (gazeteciler, diplomatlar, akademisyenler) taklit edilmesi
  • Kötü amaçlı faaliyetleri maskelemek için sahte dosyaların (Google Dokümanlar, PDF'ler, HWP belgeleri) kullanımı
  • Sahte hatalar, kimlik doğrulama istemleri veya CAPTCHA sayfaları aracılığıyla kullanıcıların PowerShell komutlarını çalıştırmaya yönlendirilmesi

Kampanyanın teknik özellikleri arasında şunlar yer alıyor :

  • Zamanlanmış görevler ve uzaktan erişim yazılımı (AnyDesk, Chrome Remote Desktop) aracılığıyla kalıcı erişim
  • BabyShark kötü amaçlı yazılımının çok aşamalı dağıtımı
  • AutoIt gibi komut dosyası tabanlı otomasyon araçlarının kullanımı
  • Çalınan kurban verilerini açığa çıkaran altyapı güvenlik açıklarından yararlanıldı

Sonuç: Sürekli Gelişen Bir Tehdit

BabyShark kampanyası, Kimsuky'nin sosyal mühendislik tekniklerini geliştirme ve kötü amaçlı amaçlar için meşru yazılım ve genel altyapıyı kullanma konusundaki çevikliğini göstermektedir. ClickFix stratejisi, tehdit aktörlerinin sistem zafiyetleri kadar insan davranışını da istismar etmeye nasıl devam ettiğini vurgulamaktadır. Dikkat, katmanlı savunma stratejileri ve kullanıcı eğitimi, bu tür karmaşık tehdit aktörlerinin oluşturduğu riskleri azaltmak için hayati önem taşımaktadır.

trend

En çok görüntülenen

Yükleniyor...