Siber suçlular, NetSupport uzaktan yönetim aracını (RAT) kötü amaçlarla dağıtmak için “ClickFix” olarak bilinen bir tekniği giderek daha fazla kullanıyor.
eSentire’ın Tehdit Müdahale Birimi (TRU) tarafından hazırlanan yeni bir rapora göre, tehdit aktörleri 2025 yılı boyunca birincil dağıtım stratejilerini sahte yazılım güncellemelerinden ClickFix ilk erişim vektörüne kaydırdı.
Bu yöntem, kullanıcıları kandırarak saldırganlara sistemleri üzerinde kontrol hakkı vermelerini sağlamak için meşru bir uzaktan destek hizmetini kötüye kullanır.
Saldırı, kurbanların bir ClickFix sayfasına yönlendirildiği ve Windows Çalıştırma İstemine kötü amaçlı bir komut yapıştırmasının istendiği sosyal mühendislikten yararlanıyor.
Bu komutun çalıştırılması, NetSupport RAT’ı indirip yükleyen bir yükleyici komut dosyasıyla başlayan ve saldırganlara ele geçirilen makine üzerinde tam uzaktan kontrol sağlayan çok aşamalı bir enfeksiyon sürecini tetikler.
Gelişen Yükleyici Taktikleri
TRU araştırmacıları bu kampanyalarda kullanılan birkaç farklı yükleyici türünü belirlediler. En yaygın olanı, Base64’te kodlanmış NetSupport veri yüklerini içeren bir JSON dosyası getiren PowerShell tabanlı bir yükleyicidir.
Betik daha sonra bu yüklerin kodunu çözer, bunları gizli bir dizine yazar ve Windows başlangıç klasöründe bir kısayol oluşturarak kalıcılık sağlar. Bu, sistem her yeniden başlatıldığında RAT’ın otomatik olarak çalışmasını sağlar.
PowerShell yükleyicisinin daha yeni bir çeşidi, RunMRU anahtarındaki kayıt defteri değerlerini silerek, ilk komut yürütmenin kanıtlarını etkili bir şekilde silerek izlerini kapatmaya çalışır.
Daha az yaygın ancak yine de dikkate değer bir yöntem, yasal Windows Installer hizmetinin kullanılmasını içerir (msiexec.exe) sonuçta RAT’ı dağıtan kötü amaçlı MSI paketlerini indirip çalıştırmak için. Gelişen bu taktikler, saldırganların tespit ve analizden kaçınmak için yöntemlerini aktif olarak geliştirdiklerini gösteriyor.
Tehdit Aktörlerinin Takibi
Kampanyaların analizi, araştırmacıların araçlarına ve altyapılarına bağlı olarak etkinliği üç farklı tehdit grubuna ayırmasına olanak tanıdı.
“DEĞERLENDİRME” kampanyası olarak adlandırılan ilki oldukça aktif ve birden fazla ülkeye yayılmış çok çeşitli yükleyiciler ve altyapı kullanıyor. “FSHGDREE32/SGI” kümesi öncelikle Doğu Avrupa’da kurşun geçirmez barındırma kullanıyor.
“XMLCTL” veya UAC-0050 olarak takip edilen üçüncü, ayrı bir aktör, MSI tabanlı yükleyiciler ve ticari ABD tabanlı barındırma dahil olmak üzere farklı teknikler kullanıyor ve farklı bir operasyonel taktik kitabı öneriyor.
Uzmanlar, bu tehditlerle mücadele etmek için kuruluşlara Grup İlkesi yoluyla Çalıştır istemini devre dışı bırakmalarını, onaylanmamış uzaktan yönetim araçlarını engellemelerini ve çalışanlar için güçlü güvenlik farkındalığı eğitimleri uygulamalarını öneriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.