Кампанія «Атака БебіШарк»
Дослідники з кібербезпеки виявили постійні та еволюційні атаки північнокорейського хакерського угруповання Kimsuky, яке використовує складну тактику соціальної інженерії, відому як ClickFix, для поширення шкідливого програмного забезпечення BabyShark. Ці кампанії спрямовані на експертів з національної безпеки та використовують як людський обман, так і технічну прихованість для отримання довгострокового доступу до систем жертв.
Зміст
Націлювання на експертів за допомогою приманок для фішингу
Група зловмисників Kimsuky активно розповсюджує фішингові електронні листи з січня 2025 року, спочатку зосереджуючись на південнокорейських експертах з національної безпеки. Зловмисники маскуються під представників легітимного німецькомовного бізнес-видання та заманюють жертв фальшивими запитами на інтерв'ю. Ці електронні листи містять посилання на шкідливі архіви RAR, які після відкриття розгортають скрипт Visual Basic (VBS). Цей скрипт запускає файл-приманку Google Docs, щоб виглядати легітимним, непомітно виконуючи код для забезпечення стійкості через заплановані завдання та викрадення системної інформації.
Оманливі персонажі та модифіковані варіанти ClickFix
До березня 2025 року Kimsuky посилила свої зусилля, видаючи себе за високопоставленого чиновника національної безпеки США. Нові фішингові електронні листи містили PDF-файл зі списком сфабрикованих питань для зустрічі та обманом змушували одержувачів ввести «код автентифікації» для доступу до нібито захищеного контенту. Це являє собою зміну методу ClickFix, від виправлення фальшивих помилок до введення кодів, що посилює ілюзію легітимності.
У квітні 2025 року з'явився ще один варіант, цього разу видаючи себе за японського дипломата та посилаючись на запропоновану зустріч з послом Японії в США. В атаці знову використовувалася сторінка-приманка Google Docs, щоб замаскувати виконання зашифрованої команди PowerShell, що дозволило продовжити витік даних та розгортання корисного навантаження через постійний зв'язок C2.
Використання фальшивих порталів вакансій та спливаючих вікон як зброї
У більш складному випадку Кімсукі почав використовувати фальшиві вебсайти, що видавали себе за портали вакансій у сфері оборонних досліджень. Ці сайти відображали фальшиві списки вакансій, які при натисканні запускали спливаючі вікна у стилі ClickFix, що закликали користувачів відкрити діалогове вікно «Виконати» Windows та виконати команду PowerShell.
Ця команда наказувала користувачам встановити Chrome Remote Desktop, надаючи зловмисникам повний віддалений доступ через SSH через домен C2 kida.plusdocs.kro. Неправильна конфігурація на сервері C2 виявила викриті дані жертви, які, як вважається, походять зі скомпрометованих південнокорейських систем. Крім того, китайська IP-адреса, підключена до цієї інфраструктури, містила журнал кейлогів та ZIP-архів Proton Drive, який доставляв BabyShark через складний багатоетапний ланцюг.
Нещодавні інновації: підроблена CAPTCHA та розгортання AutoIt
Зовсім недавно, у червні 2025 року, Kimsuky почала використовувати підроблені сторінки перевірки CAPTCHA Naver. Ці підроблені сторінки містили інструкції користувачам вставляти команди PowerShell у діалогове вікно «Виконати», виконуючи скрипт AutoIt, який збирав конфіденційну інформацію. Це ще раз демонструє адаптивне використання групою інструментів на основі скриптів та соціальної інженерії для підтримки своїх позицій у середовищі жертв.
Розширення фронтів фішингу: академічна маскування та атаки HWP
Окрім ClickFix, Kimsuky також пов’язують із фішинговими кампаніями, замаскованими під академічне листування. Ці електронні листи, схоже, є запитами на рецензування дослідницької роботи та містять захищений паролем HWP-документ. Після відкриття шкідливий документ використовує вбудований OLE-об’єкт для запуску скрипта PowerShell. Цей скрипт проводить детальну розвідку системи та розгортає AnyDesk, легітимний інструмент віддаленого робочого столу, для підтримки постійного віддаленого доступу.
Ключові висновки: огляд тактики та техніки
Атаки соціальної інженерії Кімсукі спираються на:
- Видання себе за довірених осіб та установи (журналістів, дипломатів, науковців)
- Використання файлів-приманок (Google Docs, PDF, HWP-документи) для маскування шкідливої активності
- Маніпуляції користувачами для виконання команд PowerShell за допомогою фальшивих помилок, запитів автентифікації або сторінок CAPTCHA
Технічні ознаки кампанії включають :
- Постійний доступ через заплановані завдання та програмне забезпечення для віддаленого доступу (AnyDesk, Chrome Remote Desktop)
- Багатоетапна доставка шкідливого програмного забезпечення BabyShark
- Використання інструментів автоматизації на основі скриптів, таких як AutoIt
- Експлуатація вразливостей інфраструктури, що розкриває викрадені дані жертви
Висновок: Загроза, що постійно змінюється
Кампанія BabyShark ілюструє спритність Kimsuky у розвитку методів соціальної інженерії та використанні легітимного програмного забезпечення та публічної інфраструктури для шкідливих цілей. Стратегія ClickFix підкреслює, як зловмисники продовжують використовувати людську поведінку так само, як і системні вразливості. Пильність, багаторівневі стратегії захисту та навчання користувачів залишаються вирішальними для зменшення ризиків, що виникають з боку таких витончених зловмисників.
