BabyShark 攻击活动
网络安全研究人员发现,朝鲜黑客组织 Kimsuky 持续不断且不断演变的攻击活动,正在使用一种名为 ClickFix 的复杂社会工程学手段传播 BabyShark 恶意软件。这些攻击活动以国家安全专家为目标,利用人为欺骗和技术隐身手段获取受害者系统的长期访问权限。
目录
利用鱼叉式网络钓鱼诱饵攻击专家
Kimsuky 威胁组织自 2025 年 1 月以来一直积极部署鱼叉式网络钓鱼电子邮件,最初主要针对韩国国家安全专家。攻击者伪装成合法德语商业出版物的代表,并通过虚假的采访请求诱骗受害者。这些电子邮件包含指向恶意 RAR 压缩包的链接,一旦打开,就会部署一个 Visual Basic 脚本 (VBS)。该脚本会启动一个诱饵 Google Docs 文件,使其看起来像是合法文件,但实际上会悄悄执行代码,通过计划任务建立持久性并窃取系统信息。
欺骗性角色和修改后的 ClickFix 变体
到2025年3月,Kimsuky进一步升级了攻击手段,冒充了一位美国高级国家安全官员。新的钓鱼邮件包含一份PDF文件,其中包含一系列伪造的会议问题,并诱骗收件人输入“验证码”来访问所谓的安全内容。这标志着ClickFix攻击方式的转变,从修复虚假错误转变为输入验证码,从而增强了其合法性的假象。
2025 年 4 月,又出现了另一种变体,这次它冒充了一名日本外交官,并提到了与日本驻美国大使的拟议会晤。此次攻击再次使用诱饵 Google Docs 页面来掩盖混淆的 PowerShell 命令的执行,从而允许通过持久的 C2 通信继续进行数据泄露和有效载荷部署。
利用虚假求职门户和弹出窗口
Kimsuky 更巧妙地利用虚假网站,冒充国防研究招聘门户网站。这些网站会显示虚假的招聘信息,点击后会触发类似 ClickFix 的弹窗,诱骗用户打开 Windows 的“运行”对话框并执行 PowerShell 命令。
该命令指示用户安装 Chrome 远程桌面,使攻击者能够通过 C2 域名 kida.plusdocs.kro.kr 以 SSH 方式获得完全远程访问权限。C2 服务器的配置错误导致受害者数据泄露,据信这些数据来自被入侵的韩国系统。此外,链接到该基础设施的一个中国 IP 地址包含一个键盘记录日志和一个 Proton Drive ZIP 压缩包,该压缩包通过复杂的多阶段攻击链传播 BabyShark。
最新创新:伪造验证码和 AutoIt 部署
早在2025年6月,Kimsuky就开始利用伪造的Naver CAPTCHA验证页面。这些伪造页面会引导用户将PowerShell命令粘贴到“运行”对话框中,从而执行一个AutoIt脚本来窃取敏感信息。这进一步表明该组织善于利用基于脚本的工具和社会工程手段,在受害环境中保持立足点。
不断扩大的网络钓鱼战线:学术伪装和 HWP 攻击
除了 ClickFix 之外,Kimsuky 还涉嫌与伪装成学术通信的网络钓鱼活动有关。这些电子邮件看似请求审阅研究论文,并包含一个受密码保护的 HWP 文档。一旦打开,该恶意文档就会利用嵌入的 OLE 对象运行 PowerShell 脚本。该脚本会进行详细的系统侦察,并部署合法的远程桌面工具 AnyDesk,以维持持久的远程访问。
关键要点:战术和技术概览
Kimsuky 的社会工程攻击依赖于:
- 冒充值得信赖的人物和机构(记者、外交官、学者)
- 使用诱饵文件(Google Docs、PDF、HWP 文档)掩盖恶意活动
- 通过虚假错误、身份验证提示或 CAPTCHA 页面操纵用户运行 PowerShell 命令
此次活动的技术特点包括:
- 通过计划任务和远程访问软件(AnyDesk、Chrome 远程桌面)进行持续访问
- BabyShark 恶意软件的多阶段传播
- 使用基于脚本的自动化工具,例如 AutoIt
- 利用基础设施漏洞泄露被盗受害者数据
结论:不断演变的威胁
BabyShark 攻击活动展现了 Kimsuky 在发展其社会工程技术以及利用合法软件和公共基础设施进行恶意攻击方面的敏捷性。ClickFix 策略凸显了威胁行为者如何持续利用人类行为和系统漏洞。保持警惕、分层防御策略和用户教育对于降低此类复杂威胁行为者带来的风险仍然至关重要。
