Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) BabyShark Attack-kampagnen

BabyShark Attack-kampagnen

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

Cybersikkerhedsforskere har afdækket fortsatte og udviklende angreb fra den nordkoreanske hackergruppe Kimsuky, der bruger en avanceret social engineering-taktik kendt som ClickFix til at sprede BabyShark-malwaren. Disse kampagner er rettet mod nationale sikkerhedseksperter og udnytter både menneskelig bedrag og teknisk stealth til at få langsigtet adgang til ofrenes systemer.

Målretning mod eksperter med Spear-Phishing-lokkemidler

Trusselgruppen Kimsuky har aktivt anvendt spear-phishing-e-mails siden januar 2025, i første omgang med fokus på sydkoreanske nationale sikkerhedseksperter. Angriberne udgiver sig for at være repræsentanter fra en legitim tysksproget erhvervspublikation og lokker ofrene med falske interviewanmodninger. Disse e-mails indeholder links til ondsindede RAR-arkiver, som, når de åbnes, implementerer et Visual Basic Script (VBS). Dette script starter en lokke-Google Docs-fil, der ser legitim ud, mens den i stilhed udfører kode for at sikre vedholdenhed gennem planlagte opgaver og stjæle systemoplysninger.

Vildledende personaer og modificerede ClickFix-varianter

I marts 2025 eskalerede Kimsuky sine bestræbelser ved at udgive sig for at være en højtstående amerikansk national sikkerhedsembedsmand. De nye phishing-e-mails indeholdt en PDF med en liste over opdigtede mødespørgsmål og narrede modtagere til at indtaste en 'godkendelseskode' for at få adgang til angiveligt sikkert indhold. Dette repræsenterer et skift i ClickFix-metoden, fra at rette falske fejl til at indtaste koder, hvilket forstærker illusionen af legitimitet.

I april 2025 dukkede en anden variant op, denne gang med en udgivelse som japansk diplomat og en henvisning til et foreslået møde med den japanske ambassadør i USA. Angrebet brugte igen en Google Docs-side med lokkefugle til at maskere udførelsen af en tilsløret PowerShell-kommando, hvilket muliggjorde fortsat dataudfiltrering og implementering af nyttelast via vedvarende C2-kommunikation.

Brug af falske jobportaler og pop-ups som våben

I en mere detaljeret drejning begyndte Kimsuky at bruge falske hjemmesider, der efterlignede jobportaler inden for forsvarsforskning. Disse sider viste falske jobopslag, som, når de klikkedes på dem, udløste ClickFix-lignende pop op-vinduer, der opfordrede brugerne til at åbne Windows Kør-dialogboksen og udføre en PowerShell-kommando.
Denne kommando instruerede brugerne i at installere Chrome Remote Desktop, hvilket gav angriberne fuld fjernadgang via SSH gennem C2-domænet kida.plusdocs.kro.kr. En fejlkonfiguration på C2-serveren afslørede eksponerede offerdata, som menes at stamme fra kompromitterede sydkoreanske systemer. Derudover indeholdt en kinesisk IP-adresse, der var knyttet til denne infrastruktur, en keylogging-log og et Proton Drive ZIP-arkiv, der leverede BabyShark gennem en kompleks flertrinskæde.

Nylige innovationer: Falsk CAPTCHA og AutoIt-implementering

Så sent som i juni 2025 begyndte Kimsuky at udnytte falske Naver CAPTCHA-bekræftelsessider. Disse falske sider instruerede brugerne i at indsætte PowerShell-kommandoer i dialogboksen Kør og udføre et AutoIt-script, der indsamlede følsomme oplysninger. Dette demonstrerer yderligere gruppens adaptive brug af scriptbaserede værktøjer og social engineering for at bevare deres fodfæste i offermiljøer.

Udvidende phishing-fronter: Akademisk forklædning og HWP-angreb

Udover ClickFix er Kimsuky også blevet forbundet med phishing-kampagner forklædt som akademisk korrespondance. Disse e-mails ser ud til at være anmodninger om at gennemgå en forskningsartikel og indeholder et adgangskodebeskyttet HWP-dokument. Når det ondsindede dokument åbnes, udnytter det et integreret OLE-objekt til at køre et PowerShell-script. Dette script udfører detaljeret systemrekognoscering og implementerer AnyDesk, et legitimt fjernskrivebordsværktøj, for at opretholde vedvarende fjernadgang.

Vigtige konklusioner: Taktik og teknikker i korte træk

Kimsukys social engineering-angreb er afhængige af:

  • Efterligning af betroede personer og institutioner (journalister, diplomater, akademikere)
  • Brug af lokkefuglefiler (Google Docs, PDF'er, HWP-dokumenter) til at maskere ondsindet aktivitet
  • Manipulering af brugere til at køre PowerShell-kommandoer via falske fejl, godkendelsesprompter eller CAPTCHA-sider

Tekniske kendetegn ved kampagnen omfatter :

  • Permanent adgang via planlagte opgaver og fjernadgangssoftware (AnyDesk, Chrome Remote Desktop)
  • Flertrinslevering af BabyShark-malware
  • Brug af scriptbaserede automatiseringsværktøjer som AutoIt
  • Udnyttede infrastruktursårbarheder afslører stjålne ofredata

Konklusion: En trussel i konstant udvikling

BabyShark-kampagnen illustrerer Kimsukys smidighed i at udvikle deres social engineering-teknikker og udnytte legitim software og offentlig infrastruktur til ondsindede formål. ClickFix-strategien fremhæver, hvordan trusselsaktører fortsat udnytter menneskelig adfærd lige så meget som systemsårbarheder. Årvågenhed, lagdelte forsvarsstrategier og brugeruddannelse er fortsat afgørende for at afbøde de risici, som sådanne sofistikerede trusselsaktører udgør.

Trending

Mest sete

Indlæser...