Casusluk kampanyalarında ClickFix Saldırı Tekniğini Kullanan Durum Sponsorlu Hacker’lar artık yaygın olarak


Kuzey Kore, İran ve Rusya’dan devlet destekli bilgisayar korsanları, geleneksel olarak siber suç faaliyetleriyle ilişkili ClickFix sosyal mühendislik tekniğini casusluk operasyonlarına kullanmaya başladı.

Bu değişim ilk olarak 2024’ün sonlarından 2025’in başlarına üç aylık bir süre boyunca Proofpoint araştırmacıları tarafından belgelendi ve bu aktörler rutin faaliyetlerde tıklama fix kullandı.

ClickFix’in ortaya çıkışı

Kurbanları kopyalama, yapıştırma ve kötü amaçlı komutlar çalıştırmak için diyalog kutularını kullanan yaratıcı bir yöntem olan ClickFix, devlet destekli grupların siber cephaneliğinde önemli bir araç olarak ortaya çıktı.

– Reklamcılık –
Google Haberleri

Teknik, işletim sisteminden yetkili uyarılarla gizlenir ve kullanıcıyı sonuçta zararlı komut dosyalarının yürütülmesine yol açan bir dizi sahte hata çözümü yoluyla yönlendirir.

Başlangıçta 2024’ün başlarında küresel siber suç manzaralarında gözlemlenen, şimdi casusluk kampanyalarında iz bırakıyor.

Kissuky veya zümrüt sleet olarak da bilinen Kuzey Koreli aktör TA427, enfeksiyon zincirlerinde ClickFix kullanılarak gözlendi.

ClickFix saldırısı
TA427 ClickFix enfeksiyon zincirleri (zincir 1 – düz çizgi; zincir 2 – noktalı çizgi).

Kuzey Kore işlerinde yer alan düşünce kuruluşlarını hedefleyen TA427, diplomatlardan gelen toplu toplantı talepleri ile temas başlattı ve hedefleri bir PowerShell komutu yürütmeye kandırıldıkları bir tuzağa götürdü.

Bu komut, siber suç faaliyetlerinde kullanımı ile bilinen bir kötü amaçlı yazılım olan Quasarrat’ın kurulumuyla sonuçlanan ek komut dosyaları getirdi ve yürüttü.

İran siber operasyonları

İran’ın TA450 veya Muddywater, İngilizce bir kimlik avı kampanyasıyla Orta Doğu’daki 39 kuruluşu hedef aldı.

Microsoft’tan bir güvenlik güncellemesi olarak maskelenen saldırganlar, uzaktan yönetim ve izleme (RMM) yazılımını dağıtmak için ClickFix’i kullandı.

Bu, TA450 operatörlerinin, Kasım 2024’te Seviye RMM aracını kullanarak bu grubun ilk örneğini işaretleyerek casusluk ve veri açığa çıkmasına izin verdi.

UNK_Remoterogue ve TA422 (SOFACY veya APT28 olarak da bilinir) dahil olmak üzere Rus bağlantılı gruplar da ClickFix’i test etti.

ClickFix saldırısı
Decoy cazibesi anketi.pdf.

Rapora göre, unk_remoterogue, savunma sektörü kuruluşlarına hedeflenen mesajlar göndererek onları kötü amaçlı yazılım yüklü bir web sayfasına yönlendirdi.

TA422, ayrı bir kampanyada, PowerShell komutlarını yürütmek, SSH tünelleri oluşturmak ve metasploit dağıtmak için bir Google elektronik tablo kullandı.

ClickFix’in bu artan benimsenmesi, yenilikçi ceza stratejilerinin hızla devlet destekli siber operasyonlara asimile edildiği ve siber güvenlik profesyonellerinin sürekli gelişen bir tehdit manzarasına uyum sağlamaları için zorlandığı siber taktiklerin akışkanlığının altını çiziyor.

Uzlaşma Göstergeleri (IOC)

Bu tür tehditlere karşı korunmaya yardımcı olmak için, bu kampanyalarla ilişkili bazı temel göstergeler:

Tip Tanım İlk görüldü
E -posta adresi Yasuyuki.ebata21@proton[.]Ben Şubat 2025
E -posta adresi eunsoolim29@gmail[.]com Ocak 2025
Ivır zıvır 115.92.4[.]123 (muhtemelen tehlikeye atılmış) Ocak 2025
İhtisas Securedrive.networkguru[.]com Ocak 2025
Url hxxps: //securedrive.fin-tech[.]com/docs/in/ Ocak 2025
SHA256 06816634FB019B6ED276D36F414F3B36F9B845DDD1015C2B84A34E0B8D7F083 (Büyükelçiler Cho Hyun-dong.pdf’den mektup) Ocak 2025
SHA256 0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd (temp.vbs) Ocak 2025

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link