İran, Kuzey Kore ve Rusya’dan devlet destekli çok sayıda hack grup, 2024’ten 2025 yılının başından itibaren üç aylık bir dönemde kötü amaçlı yazılım dağıtmak için giderek daha popüler olan ClickFix Sosyal Mühendislik taktiklerinden yararlandığını buldu.
Stratejiyi benimseyen kimlik avı kampanyaları, TA427 (aka Kimuky), TA450 (diğer adıyla Muddywater, UNK_REMOTEROGUE ve TA422 (AKA Apt28) olarak izlenen kümelere atfedildi.
ClickFix, öncelikle siber suç gruplarına bağlı bir başlangıç erişim tekniği olmuştur, ancak yaklaşımın etkinliği ulus devlet grupları tarafından da benimsenmesine yol açmıştır.
Kurumsal güvenlik firması, bugün yayınlanan bir raporda, “ClickFix’in dahil edilmesi, TA427, TA450, UNK_REMOTEROGUE ve TA422 tarafından yürütülen kampanyalarda devrim yaratmıyor, bunun yerine mevcut enfeksiyon zincirlerindeki kurulum ve yürütme aşamalarını değiştiriyor.” Dedi.
ClickFix, kısaca, kullanıcıları bir sorunu düzeltme, bir captcha doğrulamasını tamamlama veya cihazlarını kaydetmek için kötü amaçlı komutları kopyalamak, yapıştırmak ve çalıştırmak için bir dizi talimat izleyerek kendi makinelerini bulaşmaya çağıran sinsi bir tekniğe atıfta bulunur.
Proofpoint, ilk olarak Ocak ve Şubat 2025’te ClickFix kullanarak düşünce kuruluşu sektöründeki beşten az organizasyonda bireyleri hedefleyen bir kimlik avı kampanyasının bir parçası olarak tespit ettiğini söyledi.
Proofpoint araştırma ekibi, “TA427, Kuzey Kore işlerinde çalışan geleneksel TA427 hedeflerine teslim edilen sahte bir gönderenin toplantı talebi ile hedefle ilk temas kurdu.” Dedi.
Diyerek şöyle devam etti: “TA427 etkinliğinde sıklıkla görüldüğü gibi, hedefi meşgul etmek ve güven oluşturmak için kısa bir konuşmadan sonra, saldırganlar hedefi bir PowerShell komutunu çalıştırmaya ikna ettikleri saldırgan kontrollü bir siteye yönlendirdi.”
Şirket, saldırı zinciri, Quasar Rat adlı açık kaynaklı bir uzaktan erişim Truva atının konuşlandırılmasıyla sonuçlanan çok aşamalı bir dizi başlattı.
E -posta mesajı bir Japon diplomatından kaynaklandığı iddia edildi ve alıcıdan Japon büyükelçisi ile Amerika Birleşik Devletleri Büyükelçisi ile bir toplantı düzenlemesini istedi. Konuşma sırasında, tehdit aktörleri toplantı sırasında tartışılacak soruların bir listesi ile başka bir belgeye bağlantı içeren kötü niyetli bir PDF gönderdi.
Bağlantıyı tıklamak, kurbanı Japon Büyükelçiliği web sitesini taklit eden sahte bir açılış sayfasına yönlendirdi, bu da daha sonra anketi indirmek için Windows Run iletişim kutusuna bir komut kopyalayıp yapıştırarak cihazlarını kaydettirmelerini istedi.
“ClickFix PowerShell komutu, daha önce zincirde (anket.pdf) atıfta bulunulan yem PDF’yi kullanıcıya gösteren ikinci uzaktan barındırılan PowerShell komutunu getirir ve yürütür.” Dedi. Diyerek şöyle devam etti: “Belge, Japonya’daki Dışişleri Bakanlığı’ndan olduğunu iddia etti ve Kuzeydoğu Asya’da nükleer çoğalma ve politika ile ilgili sorular içeriyordu.”
İkinci PowerShell komut dosyası, planlanmış bir görevle her 19 dakikada bir çalışan görsel bir temel komut dosyası oluşturacak şekilde yapılandırılmıştır, bu da Quasar Rat yükünü oluşturan, kodlayan ve yürüten iki toplu komut dosyası indirir. Bu saldırı zincirinin bir varyasyonunun daha önce Şubat 2025’te Microsoft tarafından belgelendiğini belirtmek gerekir.
ClickFix’e takılacak ikinci ulus-devlet grubu, kalıcı erişimi sürdürmek için seviye gibi meşru uzaktan izleme ve yönetim (RMM) yazılımının tekniğinden yararlanan İran bağlantılı Muddywater grubudur.
13 ve 14 Kasım 2024’te gönderilen ve Microsoft’un yaması Salı güncellemelerine denk gelen kimlik avı e-postaları, teknoloji devinden bir güvenlik güncellemesi olarak görüntülendi ve mesaj alıcılarından sözde bir güvenlik açığını ele almak için ClickFix tarzı talimatları izlemelerini istedi.
“Saldırganlar, PowerShell’i yönetici ayrıcalıklarıyla çalıştırmaya, daha sonra e -posta gövdesinde bulunan bir komutu kopyalayıp çalıştırmaya hedefi ikna ederek ClickFix tekniğini konuşlandırdı.” Dedi.
“Komut, uzaktan yönetim ve izleme (RMM) yazılımının – bu durumda seviye – yüklenmesinden sorumluydu.
TA450 ClickFix kampanyasının, Birleşik Arap Emirlikleri (BAE) ve Suudi Arabistan’ın yanı sıra Kanada, Almanya, İsviçre ve Amerika Birleşik Devletleri’nde bulunanlara vurgu yaparak Orta Doğu’daki finans, hükümet, sağlık, eğitim ve ulaşım sektörlerini hedeflediği söyleniyor.
Ayrıca, ClickFix Bandwagon’un bindirilmesi gözlemlendi, geçen yılın sonuna doğru UNK_REMOTEROGUS olarak izlenen şüpheli bir Rus grubu, bir Microsoft Office belgesine bağlantı içeren muhtemel tehlikeye atılmış Zimbra sunucularından gönderilen lure e -postaları kullanarak.
Bağlantıyı ziyaret ederken, PowerShell’in nasıl çalıştırılacağına dair bir YouTube video eğitimi ile birlikte tarayıcıdan kod kopyalamak için talimatlar içeren bir sayfa görüntülendi. PowerShell komutu, İmparatorluk Komut ve Kontrol (C2) çerçevesine bağlı PowerShell kodunu yürüten JavaScript’i çalıştırmak için yeteneklerle donatılmıştır.
Proofpoint, kampanyanın savunma endüstrisinde büyük bir silah üreticisiyle ilişkili iki kuruluştaki bireylere 10 mesaj gönderdiğini söyledi. UNK_Remoterogue’un, sahte giriş sayfaları aracılığıyla webmail kimlik bilgilerini hasat etmek için Ukrayna’da devam eden çatışmalara bağlantılarla savunma ve havacılık varlıklarını hedefleyen başka bir kimlik avı kampanyasıyla altyapı örtüşmelerini paylaştığı bulundu.
Şirket, “ClickFix kullanan devlet destekli aktörlerin birden fazla örneği sadece tekniğin devlet aktörleri arasındaki popülaritesini değil, aynı zamanda birbirlerinden haftalar içinde çeşitli ülkeler tarafından kullanıldığını gösterdi.” Dedi. “Kalıcı olarak kullanılan bir teknik olmasa da, Kuzey Kore, İran ve Rusya’dan daha fazla tehdit aktörünün de yakın gelecekte ClickFix’i veya Mayıs’ı denediğini ve test etmesi muhtemeldir.”