BabyShark 攻擊活動

網路安全研究人員發現，北韓駭客組織 Kimsuky 持續且不斷演變的攻擊活動，正在使用一種名為 ClickFix 的複雜社會工程學手段傳播 BabyShark 惡意軟體。這些攻擊活動以國家安全專家為目標，利用人為欺騙和技術隱身手段取得受害者係統的長期存取權限。

利用魚叉式網路釣魚誘餌攻擊專家

Kimsuky 威脅組織自 2025 年 1 月以來一直積極部署魚叉式網路釣魚電子郵件，最初主要針對韓國國家安全專家。攻擊者偽裝成合法德語商業出版物的代表，並透過虛假的採訪請求誘騙受害者。這些電子郵件包含指向惡意 RAR 壓縮包的鏈接，一旦打開，就會部署一個 Visual Basic 腳本 (VBS)。該腳本會啟動一個誘餌 Google Docs 文件，使其看起來像是合法文件，但實際上會悄悄執行程式碼，透過排程任務建立持久性並竊取系統資訊。

欺騙性角色和修改後的 ClickFix 變體

到了2025年3月，Kimsuky進一步升級攻擊手段，冒充了一位美國高級國家安全官員。新的釣魚郵件包含一份PDF文件，其中包含一系列偽造的會議問題，並誘騙收件人輸入「驗證碼」來存取所謂的安全內容。這標誌著ClickFix攻擊方式的轉變，從修復虛假錯誤轉變為輸入驗證碼，從而增強了其合法性的假象。

2025 年 4 月，又出現了另一種變體，這次它冒充了一名日本外交官，並提到了與日本駐美國大使的擬議會晤。這次攻擊再次使用誘餌 Google Docs 頁面來掩蓋混淆的 PowerShell 命令的執行，從而允許透過持久的 C2 通訊繼續進行資料外洩和有效載荷部署。

利用虛假求職入口網站和彈出窗口

Kimsuky 更巧妙地利用虛假網站，冒充國防研究招聘入口網站。這些網站會顯示虛假的招募訊息，點擊後會觸發類似 ClickFix 的彈跳窗，誘騙使用者開啟 Windows 的「執行」對話方塊並執行 PowerShell 指令。
該命令指示使用者安裝 Chrome 遠端桌面，使攻擊者能夠透過 C2 網域名稱 kida.plusdocs.kro.kr 以 SSH 方式獲得完全遠端存取權限。 C2 伺服器的配置錯誤導致受害者資料洩露，據信這些資料來自被入侵的韓國系統。此外，連結到該基礎設施的一個中國 IP 位址包含一個鍵盤記錄日誌和一個 Proton Drive ZIP 壓縮包，該壓縮包透過複雜的多階段攻擊鏈傳播 BabyShark。

最新創新：偽造驗證碼和 AutoIt 部署

早在2025年6月，Kimsuky就開始利用偽造的Naver CAPTCHA驗證頁面。這些偽造頁面會引導使用者將PowerShell指令貼到「執行」對話方塊中，從而執行一個AutoIt腳本來竊取敏感資訊。這進一步表明該組織善於利用基於腳本的工具和社會工程手段，在受害環境中保持立足點。

不斷擴大的網路釣魚戰線：學術偽裝和 HWP 攻擊

除了 ClickFix 之外，Kimsuky 還涉嫌與偽裝成學術通訊的網路釣魚活動有關。這些電子郵件看似請求審查研究論文，並包含一個受密碼保護的 HWP 文件。一旦打開，該惡意文件就會利用嵌入的 OLE 物件來執行 PowerShell 腳本。此腳本會進行詳細的系統偵察，並部署合法的遠端桌面工具 AnyDesk，以維持持久的遠端存取。

關鍵要點：戰術和技術概覽

Kimsuky 的社會工程攻擊依賴：

• 冒充值得信賴的人物和機構（記者、外交官、學者）
• 使用誘餌檔案（Google Docs、PDF、HWP 文件）來掩蓋惡意活動
• 透過虛假錯誤、身份驗證提示或 CAPTCHA 頁面操縱使用者執行 PowerShell 命令

此次活動的技術特點包括：

• 透過排程任務和遠端存取軟體（AnyDesk、Chrome 遠端桌面）進行持續存取
• BabyShark 惡意軟體的多階段傳播
• 使用基於腳本的自動化工具，例如 AutoIt
• 利用基礎設施漏洞洩漏被盜受害者數據

結論：不斷演變的威脅

BabyShark 攻擊活動展現了 Kimsuky 在發展其社會工程技術以及利用合法軟體和公共基礎設施進行惡意攻擊方面的敏捷性。 ClickFix 策略凸顯了威脅行為者如何持續利用人類行為和系統漏洞。保持警惕、分層防禦策略和用戶教育對於降低此類複雜威脅行為者的風險仍然至關重要。