Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) BabyShark-Angriffskampagne

BabyShark-Angriffskampagne

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben anhaltende und sich weiterentwickelnde Angriffe der nordkoreanischen Hackergruppe Kimsuky aufgedeckt. Diese nutzt eine ausgeklügelte Social-Engineering-Taktik namens ClickFix, um die BabyShark-Malware zu verbreiten. Diese Kampagnen richten sich gegen nationale Sicherheitsexperten und nutzen sowohl menschliche Täuschung als auch technische Tarnung, um sich langfristigen Zugriff auf die Systeme der Opfer zu verschaffen.

Experten mit Spear-Phishing-Ködern ansprechen

Die Bedrohungsgruppe Kimsuky versendet seit Januar 2025 aktiv Spear-Phishing-E-Mails und konzentriert sich dabei zunächst auf südkoreanische Sicherheitsexperten. Die Angreifer geben sich als Vertreter einer seriösen deutschsprachigen Wirtschaftszeitschrift aus und locken ihre Opfer mit gefälschten Interviewanfragen. Diese E-Mails enthalten Links zu bösartigen RAR-Archiven, die nach dem Öffnen ein Visual Basic-Skript (VBS) ausführen. Dieses Skript startet eine gefälschte Google Docs-Datei, um legitim zu wirken, während es im Hintergrund Code ausführt, um durch geplante Aufgaben Persistenz zu gewährleisten und Systeminformationen zu stehlen.

Irreführende Personas und modifizierte ClickFix-Varianten

Im März 2025 verstärkte Kimsuky seine Bemühungen, indem es sich als hochrangiger US-Sicherheitsbeamter ausgab. Die neuen Phishing-E-Mails enthielten ein PDF mit einer Liste erfundener Meeting-Fragen und verleiteten die Empfänger dazu, einen „Authentifizierungscode“ einzugeben, um auf vermeintlich sichere Inhalte zuzugreifen. Dies stellt eine Abkehr von der Behebung gefälschter Fehler durch die Eingabe von Codes dar und verstärkte so den Anschein von Legitimität.

Im April 2025 tauchte eine weitere Variante auf, die sich diesmal als japanischer Diplomat ausgab und auf ein geplantes Treffen mit dem japanischen Botschafter in den USA verwies. Bei dem Angriff wurde erneut eine Scheinseite in Google Docs verwendet, um die Ausführung eines verschleierten PowerShell-Befehls zu maskieren und so eine fortgesetzte Datenexfiltration und Nutzlastbereitstellung über eine dauerhafte C2-Kommunikation zu ermöglichen.

Gefälschte Jobportale und Pop-ups als Waffe einsetzen

In einer noch raffinierteren Variante begann Kimsuky, gefälschte Websites zu verwenden, die sich als Jobportale für die Verteidigungsforschung ausgaben. Diese Seiten zeigten gefälschte Stellenangebote an, die beim Anklicken ClickFix-ähnliche Popups auslösten, die die Benutzer aufforderten, das Windows-Dialogfeld „Ausführen“ zu öffnen und einen PowerShell-Befehl auszuführen.
Dieser Befehl wies Benutzer an, Chrome Remote Desktop zu installieren, wodurch Angreifer per SSH über die C2-Domäne kida.plusdocs.kro.kr vollen Fernzugriff erhielten. Eine Fehlkonfiguration des C2-Servers legte Opferdaten offen, die vermutlich von kompromittierten südkoreanischen Systemen stammten. Darüber hinaus enthielt eine mit dieser Infrastruktur verknüpfte chinesische IP-Adresse ein Keylogging-Protokoll und ein Proton Drive-ZIP-Archiv, das BabyShark über eine komplexe mehrstufige Kette auslieferte.

Aktuelle Innovationen: Fake CAPTCHA und AutoIt-Bereitstellung

Erst im Juni 2025 begann Kimsuky, gefälschte Naver-CAPTCHA-Verifizierungsseiten auszunutzen. Diese gefälschten Seiten forderten Benutzer auf, PowerShell-Befehle in den Ausführen-Dialog einzufügen und so ein AutoIt-Skript auszuführen, das vertrauliche Informationen sammelte. Dies verdeutlicht den flexiblen Einsatz von skriptbasierten Tools und Social Engineering durch die Gruppe, um sich in den Umgebungen der Opfer festzusetzen.

Ausweitung der Phishing-Fronten: Akademische Tarnung und HWP-Angriffe

Neben ClickFix wurde Kimsuky auch mit Phishing-Kampagnen in Verbindung gebracht, die als akademische Korrespondenz getarnt waren. Diese E-Mails scheinen Aufforderungen zur Überprüfung einer Forschungsarbeit zu sein und enthalten ein passwortgeschütztes HWP-Dokument. Nach dem Öffnen nutzt das schädliche Dokument ein eingebettetes OLE-Objekt, um ein PowerShell-Skript auszuführen. Dieses Skript führt eine detaillierte Systemaufklärung durch und setzt AnyDesk, ein legitimes Remote-Desktop-Tool, ein, um den dauerhaften Fernzugriff aufrechtzuerhalten.

Wichtige Erkenntnisse: Taktiken und Techniken auf einen Blick

Die Social-Engineering-Angriffe von Kimsuky basieren auf:

  • Identitätsbetrug als vertrauenswürdige Personen und Institutionen (Journalisten, Diplomaten, Akademiker)
  • Verwendung von Lockvogeldateien (Google Docs, PDFs, HWP-Dokumente) zur Verschleierung böswilliger Aktivitäten
  • Manipulation von Benutzern zur Ausführung von PowerShell-Befehlen durch gefälschte Fehler, Authentifizierungsaufforderungen oder CAPTCHA-Seiten

Zu den technischen Merkmalen der Kampagne gehören :

  • Dauerhafter Zugriff über geplante Aufgaben und Fernzugriffssoftware (AnyDesk, Chrome Remote Desktop)
  • Mehrstufige Verbreitung der BabyShark-Malware
  • Verwendung von skriptbasierten Automatisierungstools wie AutoIt
  • Ausgenutzte Infrastrukturschwachstellen geben gestohlene Daten der Opfer preis

Fazit: Eine sich ständig weiterentwickelnde Bedrohung

Die BabyShark-Kampagne verdeutlicht Kimsukys Agilität bei der Weiterentwicklung seiner Social-Engineering-Techniken und der Nutzung legitimer Software und öffentlicher Infrastruktur für böswillige Zwecke. Die ClickFix-Strategie verdeutlicht, wie Bedrohungsakteure menschliches Verhalten ebenso ausnutzen wie Systemschwachstellen. Wachsamkeit, mehrschichtige Verteidigungsstrategien und die Aufklärung der Benutzer bleiben entscheidend, um die Risiken durch solch hochentwickelte Bedrohungsakteure zu minimieren.

Im Trend

Am häufigsten gesehen

Wird geladen...