Анализ тактик Kimsuky: ClickFix и BabyShark угрожают безопасности
С начала 2025 года группа компаний Kimsuky активизировала применение тактики атаки ClickFix, впервые выявленной специалистами Proofpoint в апреле 2024 года. Эти методы нацелены на пользователей, посещающих взломанные веб-сайты, и базируются на психологическом манипулировании через ложные сообщения об ошибках, имитирующие обновление браузера.
Особенности тактики ClickFix
Суть ClickFix заключается в следующем:
- Пользователям демонстрируется вводящее в заблуждение сообщение, которое убеждает их выполнить предложенный код через PowerShell.
- Выполнение данного кода приводит к активации вредоносной полезной нагрузки.
- Метод используется не только Kimsuky: аналогичные приёмы применяют злоумышленники из Северной Кореи, Ирана и России.
- Основной упор делается на психологическое давление — жертвы вынуждены самостоятельно запустить вредоносные команды, что значительно снижает возможность обнаружения атаки.
Кампании и инструментарий Kimsuky в 2025 году
Помимо ClickFix, группа проводит кампанию BabyShark, ознаменовавшуюся внедрением новых тактик с использованием скриптовых механизмов.
В январе 2025 года Kimsuky реализовала масштабную фишинговую кампанию, ориентированную на экспертов в области корейской дипломатии. Для повышения доверия злоумышленники выдавали себя за журналистов и приглашали к интервью, после чего жертвы получали вредоносные ссылки, замаскированные под анкеты.
За время кампании удалось выявить следующие ключевые тактические элементы:
- Использование скриптов Visual Basic (VBS), запускаемых через PowerShell.
- Организация обмена данными с серверами управления (C2) для контроля над заражёнными системами.
- Обфускация скриптов путём наложения команд на бессмысленные строки — это затрудняет обнаружение со стороны антивирусов и других систем безопасности.
Инфраструктура и методы обеспечения устойчивости атак
Исследователи идентифицировали сервер C2, связанный с деятельностью группы, который демонстрирует использование передовых методик — такие как внедрение запланированных задач для обеспечения постоянства доступа и непрерывного сбора информации.
Дополнительные приемы Kimsuky включают:
- Подделку платформ для поиска работы с целью доставки вредоносной информации через всплывающие сообщения.
- Использование разнообразных серверов C2 и манипуляцию сигналами в фишинговых сообщениях.
- Создание ложных сообщений, призванных стимулировать жертв к выполнению компрометирующих действий.
Новейший пример атаки и перспективы угроз
В середине 2025 года был зафиксирован свежий пример использования ClickFix: злоумышленники создавали ложный сайт корейского портала, под видом настроек безопасности вынуждая пользователей запускать команды PowerShell.
Эта схема включает в себя продуманный обман, целящийся в загрузку дополнительных вредоносных программ и кражу пользовательских данных.
Очевидные уязвимости, эксплуатируемые в рамках этих кампаний, отражают сложность современной ситуации в области кибербезопасности. Kimsuky умело манипулирует психологическими реакциями пользователей и успешно обходит традиционные меры защиты.
Рекомендации по защите от атак группы Kimsuky
Эксперты в области кибербезопасности советуют следующие меры для противодействия развивающимся угрозам:
- Внедрение усовершенствованных систем обнаружения и реагирования на конечных точках (EDR), способных распознавать атакующие скрипты и аномальное поведение, связанное с PowerShell.
- Интеграция информации из EDR о коммуникациях с серверами управления (C2) в работу корпоративных брандмауэров и протоколов безопасности.
- Превентивная блокировка подозрительных соединений, основанная на анализе поведения и выявленных индикаторах компрометации.
Таким образом, своевременное внедрение комплексных средств безопасности и повышение осведомлённости пользователей являются ключевыми элементами в борьбе с угрозами, исходящими от группы Kimsuky.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
