Kuzey Kore, İran ve Rusya’dan devlet destekli bilgisayar korsanları, geleneksel olarak siber suç faaliyetleriyle ilişkili ClickFix sosyal mühendislik tekniğini casusluk operasyonlarına kullanmaya başladı.
Bu değişim ilk olarak 2024’ün sonlarından 2025’in başlarına üç aylık bir süre boyunca Proofpoint araştırmacıları tarafından belgelendi ve bu aktörler rutin faaliyetlerde tıklama fix kullandı.
ClickFix’in ortaya çıkışı
Kurbanları kopyalama, yapıştırma ve kötü amaçlı komutlar çalıştırmak için diyalog kutularını kullanan yaratıcı bir yöntem olan ClickFix, devlet destekli grupların siber cephaneliğinde önemli bir araç olarak ortaya çıktı.
.png
)
Teknik, işletim sisteminden yetkili uyarılarla gizlenir ve kullanıcıyı sonuçta zararlı komut dosyalarının yürütülmesine yol açan bir dizi sahte hata çözümü yoluyla yönlendirir.
Başlangıçta 2024’ün başlarında küresel siber suç manzaralarında gözlemlenen, şimdi casusluk kampanyalarında iz bırakıyor.
Kissuky veya zümrüt sleet olarak da bilinen Kuzey Koreli aktör TA427, enfeksiyon zincirlerinde ClickFix kullanılarak gözlendi.
.webp)
Kuzey Kore işlerinde yer alan düşünce kuruluşlarını hedefleyen TA427, diplomatlardan gelen toplu toplantı talepleri ile temas başlattı ve hedefleri bir PowerShell komutu yürütmeye kandırıldıkları bir tuzağa götürdü.
Bu komut, siber suç faaliyetlerinde kullanımı ile bilinen bir kötü amaçlı yazılım olan Quasarrat’ın kurulumuyla sonuçlanan ek komut dosyaları getirdi ve yürüttü.
İran siber operasyonları
İran’ın TA450 veya Muddywater, İngilizce bir kimlik avı kampanyasıyla Orta Doğu’daki 39 kuruluşu hedef aldı.
Microsoft’tan bir güvenlik güncellemesi olarak maskelenen saldırganlar, uzaktan yönetim ve izleme (RMM) yazılımını dağıtmak için ClickFix’i kullandı.
Bu, TA450 operatörlerinin, Kasım 2024’te Seviye RMM aracını kullanarak bu grubun ilk örneğini işaretleyerek casusluk ve veri açığa çıkmasına izin verdi.
UNK_Remoterogue ve TA422 (SOFACY veya APT28 olarak da bilinir) dahil olmak üzere Rus bağlantılı gruplar da ClickFix’i test etti.

Rapora göre, unk_remoterogue, savunma sektörü kuruluşlarına hedeflenen mesajlar göndererek onları kötü amaçlı yazılım yüklü bir web sayfasına yönlendirdi.
TA422, ayrı bir kampanyada, PowerShell komutlarını yürütmek, SSH tünelleri oluşturmak ve metasploit dağıtmak için bir Google elektronik tablo kullandı.
ClickFix’in bu artan benimsenmesi, yenilikçi ceza stratejilerinin hızla devlet destekli siber operasyonlara asimile edildiği ve siber güvenlik profesyonellerinin sürekli gelişen bir tehdit manzarasına uyum sağlamaları için zorlandığı siber taktiklerin akışkanlığının altını çiziyor.
Uzlaşma Göstergeleri (IOC)
Bu tür tehditlere karşı korunmaya yardımcı olmak için, bu kampanyalarla ilişkili bazı temel göstergeler:
Tip | Tanım | İlk görüldü |
---|---|---|
E -posta adresi | Yasuyuki.ebata21@proton[.]Ben | Şubat 2025 |
E -posta adresi | eunsoolim29@gmail[.]com | Ocak 2025 |
Ivır zıvır | 115.92.4[.]123 (muhtemelen tehlikeye atılmış) | Ocak 2025 |
İhtisas | Securedrive.networkguru[.]com | Ocak 2025 |
Url | hxxps: //securedrive.fin-tech[.]com/docs/in/ | Ocak 2025 |
SHA256 | 06816634FB019B6ED276D36F414F3B36F9B845DDD1015C2B84A34E0B8D7F083 (Büyükelçiler Cho Hyun-dong.pdf’den mektup) | Ocak 2025 |
SHA256 | 0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd (temp.vbs) | Ocak 2025 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!