Kuzey Kore devlet oyuncusu ‘Kimuky’ (aka ‘Emerald Sleet’ veya ‘Velvet Chollima’), şimdi yaygın ClickFix kampanyalarından esinlenen yeni bir taktik kullanılarak gözlendi.
ClickFix, siber suç topluluğunda, özellikle Infostealer kötü amaçlı yazılımları dağıtmak için çekiş kazanan bir sosyal mühendislik taktiğidir.
Aldatıcı hata mesajları veya kurbanları genellikle PowerShell komutları aracılığıyla kötü amaçlı kod yürütmeye yönlendiren ister. Bu eylemler tipik olarak kötü amaçlı yazılım enfeksiyonlarına yol açar.
Microsoft’un tehdit istihbarat ekibinin bilgilerine göre, saldırgan Güney Kore hükümet yetkilisi olarak maskeleniyor ve yavaş yavaş kurbanla bağlantı kuruyor.
Belli bir güven seviyesi belirlendikten sonra, saldırgan PDF ekli bir mızrak aktı e-postası gönderir. Ancak, belgeyi okumak isteyen hedefler, PowerShell’i yönetici olarak çalıştırmalarını ve saldırgan tarafından sağlanan kodu yapıştırmalarını söyleyen sahte bir cihaz kayıt bağlantısına yönlendirilir.
Kaynak: Microsoft
Yürütüldüğünde, kod tarayıcı tabanlı bir uzak masaüstü aracı yükler, sabit kodlu bir PIN kullanarak bir sertifika indirir ve kurbanın cihazını uzak bir sunucu ile kaydeder ve saldırgana veri söndürme için doğrudan erişim sağlar.
Microsoft, bu taktiği Ocak 2025’ten itibaren sınırlı kapsam saldırılarında gözlemlediğini ve Kuzey Amerika, Güney Amerika, Avrupa ve Doğu Asya’daki uluslararası ilişkiler kuruluşlarında, STK’larda, devlet kurumlarında ve medya şirketlerinde çalışan bireyleri hedeflediğini söyledi.
Microsoft, bu etkinlik tarafından hedeflenen müşterileri bilgilendirdi ve başkalarını yeni taktikleri not etmeye ve istenmeyen tüm iletişimleri çok dikkatli bir şekilde ele almaya çağırıyor.
Microsoft, “Bu taktiğin sadece Ocak 2025’ten bu yana sınırlı saldırılarda kullanılmasını gözlemlemiş olsak da, bu değişim geleneksel casusluk hedeflerinden ödün vermek için yeni bir yaklaşımın göstergesidir” diyor.
Kimuky gibi ulus devlet aktörleri tarafından ClickFix taktiklerinin benimsenmesi, saldırının gerçek operasyonlardaki etkinliğinin bir kanıtıdır.
Kullanıcılar, özellikle yönetici ayrıcalıklarıyla yaparken, çevrimiçi olarak kopyaladıkları bilgisayar kodunda yürütme istekleriyle karşılaşırken dikkatli olmalıdır.