Chiến dịch tấn công BabyShark

Các nhà nghiên cứu an ninh mạng đã phát hiện ra các cuộc tấn công liên tục và đang phát triển của nhóm tin tặc Triều Tiên Kimsuky, những kẻ đang sử dụng một chiến thuật kỹ thuật xã hội tinh vi được gọi là ClickFix để phát tán phần mềm độc hại BabyShark. Các chiến dịch này nhắm vào các chuyên gia an ninh quốc gia và tận dụng cả sự lừa dối của con người và sự ẩn danh về mặt kỹ thuật để có được quyền truy cập lâu dài vào các hệ thống của nạn nhân.

Nhắm mục tiêu vào các chuyên gia bằng mồi nhử Spear-Phishing

Nhóm đe dọa Kimsuky đã tích cực triển khai các email lừa đảo từ tháng 1 năm 2025, ban đầu tập trung vào các chuyên gia an ninh quốc gia Hàn Quốc. Những kẻ tấn công đóng giả làm đại diện của một ấn phẩm kinh doanh tiếng Đức hợp pháp và dụ dỗ nạn nhân bằng các yêu cầu phỏng vấn giả mạo. Các email này chứa các liên kết đến các kho lưu trữ RAR độc hại, khi mở ra, sẽ triển khai một Visual Basic Script (VBS). Tập lệnh này khởi chạy một tệp Google Docs giả mạo để có vẻ hợp pháp trong khi âm thầm thực thi mã để thiết lập tính bền bỉ thông qua các tác vụ đã lên lịch và đánh cắp thông tin hệ thống.

Nhân vật lừa đảo và các biến thể ClickFix đã sửa đổi

Đến tháng 3 năm 2025, Kimsuky đã tăng cường nỗ lực của mình bằng cách mạo danh một viên chức an ninh quốc gia cấp cao của Hoa Kỳ. Các email lừa đảo mới có tệp PDF với danh sách các câu hỏi họp bịa đặt và lừa người nhận nhập 'mã xác thực' để truy cập vào nội dung được cho là an toàn. Điều này thể hiện sự thay đổi trong phương pháp ClickFix, từ sửa lỗi giả sang nhập mã, tăng cường ảo tưởng về tính hợp pháp.

Vào tháng 4 năm 2025, một biến thể khác xuất hiện, lần này mạo danh một nhà ngoại giao Nhật Bản và nhắc đến cuộc họp được đề xuất với đại sứ Nhật Bản tại Hoa Kỳ. Cuộc tấn công một lần nữa sử dụng trang Google Docs giả để che giấu việc thực thi lệnh PowerShell được che giấu, cho phép tiếp tục đánh cắp dữ liệu và triển khai tải trọng thông qua liên lạc C2 liên tục.

Vũ khí hóa các cổng thông tin việc làm giả mạo và cửa sổ bật lên

Trong một diễn biến phức tạp hơn, Kimsuky bắt đầu sử dụng các trang web giả mạo mạo danh các cổng thông tin việc làm nghiên cứu quốc phòng. Các trang web này hiển thị danh sách việc làm giả mạo, khi nhấp vào sẽ kích hoạt các cửa sổ bật lên theo kiểu ClickFix thúc giục người dùng mở hộp thoại Windows Run và thực hiện lệnh PowerShell.
Lệnh này hướng dẫn người dùng cài đặt Chrome Remote Desktop, cấp cho kẻ tấn công quyền truy cập từ xa đầy đủ qua SSH thông qua tên miền C2 kida.plusdocs.kro.kr. Một cấu hình sai trên máy chủ C2 đã tiết lộ dữ liệu nạn nhân bị lộ, được cho là có nguồn gốc từ các hệ thống bị xâm phạm của Hàn Quốc. Ngoài ra, một IP của Trung Quốc được liên kết với cơ sở hạ tầng này chứa nhật ký keylogging và kho lưu trữ ZIP Proton Drive phân phối BabyShark thông qua một chuỗi nhiều giai đoạn phức tạp.

Những đổi mới gần đây: CAPTCHA giả và triển khai AutoIt

Gần đây nhất là vào tháng 6 năm 2025, Kimsuky đã bắt đầu khai thác các trang xác minh Naver CAPTCHA giả mạo. Các trang giả mạo này hướng dẫn người dùng dán lệnh PowerShell vào hộp thoại Run, thực thi một tập lệnh AutoIt thu thập thông tin nhạy cảm. Điều này càng chứng minh thêm việc nhóm này sử dụng các công cụ dựa trên tập lệnh và kỹ thuật xã hội để duy trì chỗ đứng của chúng trong môi trường nạn nhân.

Mở rộng mặt trận lừa đảo: Ngụy trang học thuật và các cuộc tấn công HWP

Ngoài ClickFix, Kimsuky cũng được liên kết với các chiến dịch lừa đảo trá hình dưới dạng thư từ học thuật. Những email này có vẻ như là yêu cầu xem xét một bài nghiên cứu và bao gồm một tài liệu HWP được bảo vệ bằng mật khẩu. Sau khi mở, tài liệu độc hại sẽ tận dụng một đối tượng OLE nhúng để chạy một tập lệnh PowerShell. Tập lệnh này tiến hành trinh sát hệ thống chi tiết và triển khai AnyDesk, một công cụ máy tính từ xa hợp pháp, để duy trì quyền truy cập từ xa liên tục.

Những điểm chính: Chiến thuật và Kỹ thuật tóm tắt

Các cuộc tấn công kỹ thuật xã hội của Kimsuky dựa vào:

• Mạo danh những người và tổ chức đáng tin cậy (nhà báo, nhà ngoại giao, học giả)
• Sử dụng các tệp mồi nhử (Google Docs, PDF, tài liệu HWP) để che giấu hoạt động độc hại
• Thao túng người dùng chạy lệnh PowerShell thông qua lỗi giả, lời nhắc xác thực hoặc trang CAPTCHA

Các đặc điểm kỹ thuật của chiến dịch bao gồm :

• Truy cập liên tục thông qua các tác vụ theo lịch trình và phần mềm truy cập từ xa (AnyDesk, Chrome Remote Desktop)
• Phân phối phần mềm độc hại BabyShark theo nhiều giai đoạn
• Sử dụng các công cụ tự động hóa dựa trên tập lệnh như AutoIt
• Lỗ hổng cơ sở hạ tầng bị khai thác làm lộ dữ liệu nạn nhân bị đánh cắp

Kết luận: Một mối đe dọa liên tục phát triển

Chiến dịch BabyShark minh họa cho sự nhanh nhẹn của Kimsuky trong việc phát triển các kỹ thuật kỹ thuật xã hội và tận dụng phần mềm hợp pháp và cơ sở hạ tầng công cộng cho mục đích xấu. Chiến lược ClickFix nêu bật cách các tác nhân đe dọa tiếp tục khai thác hành vi của con người cũng như các lỗ hổng hệ thống. Sự cảnh giác, các chiến lược phòng thủ nhiều lớp và giáo dục người dùng vẫn đóng vai trò quan trọng trong việc giảm thiểu rủi ro do các tác nhân đe dọa tinh vi như vậy gây ra.