عاملان تهدید، بدافزار مبتنی بر ویژوال بیسیک BabyShark را از طریق ایمیلهای فیشینگ توزیع میکنند. این ایمیلها از یک آدرس ایمیل عمومی ارسال شدهاند که بهنظر میرسد فرستندهی آنها یک کارشناس امنیت هستهای در امریکا است. پژوهشگران Palo Alto Networks ابتدا این پویش را در ماه نوامبر سال ۲۰۱۸ میلادی شناسایی کردند و متوجه شدند که با فعالیتهای گذشتهی کرهی شمالی ارتباطاتی دارد.
این آلودگی با یک ایمیل فیشینگ آغاز میشود که حاوی اسناد ماکروی مخرب اکسل است و زمانیکه این ماکرو اجرا میشود، بدافزار جدید مایکروسافت ویژوال بیسیک به نام BabyShark را بارگذاری میکند. مرحلهی اول HTA از یک مکان راه دور بارگیری میشود و یک درخواست HTTP GET به مکان دیگر در همان سرور C2 ارسال میکند که اسکریپت ویژوال بیسیک BabyShark را رمزگشایی میکند.
سپس این اسکریپت، ماکروها را برای مایکروسافت ورد و اکسل فعال میکند و کلیدهای رجیستری را اضافه میکند و مجموعهای از دستورات را صادر میکند تا اطلاعات کاربر، آدرس آیپی، نام سیستم و وظایف درحال اجرا و نسخههای آنها را بهدست آورد. BabyShark اطلاعات را جمعآوری میکند و آنها را بااستفاده از certutil.exe رمزنگاری میکند، سپس در سرور C2 بارگذاری میکند و کلید رجیستری را برای اطمینان از ماندگاری اضافه میکند و منتظر دستورات سرور C2 میماند.
نمونههای دیگری از اسناد مخرب شناسایی شده است که توسط BabyShark منتقل میشود. نامهای اصلی فایل و محتویات پنهان این نمونهها حاکی از آن است که این عامل تهدید به جمعآوری اطلاعات مربوط به کرهی شمالی و حتی آسیای شمال شرقی علاقهمند است. این بدافزار در یک پویش فیشینگ محدود استفاده شده است که در ماه نوامبر سال ۲۰۱۸ میلادی آغاز شده است و هنوز هم ادامه دارد. عامل تهدید پشت این بدافزار بهطور مشخص روی جمعآوری اطلاعات مربوط به مسائل امنیتی آسیای شمال شرقی تمرکز کرده است.
