Kuzey Kore devlet destekli hacker kolektif Kissuky’nin, kurban makinelerini siber saldırılarla tehlikeye atmak için “ClickFix” adlı dürüst olmayan bir teknik kullandığı bulunmuştur.
İlk olarak Nisan 2024’te Proofpoint tarafından belgelenen ClickFix, kullanıcıları meşru sorun giderme kılavuzları veya güvenli belge doğrulama süreçleri olarak gizleyerek kötü amaçlı komut dosyaları yürütmeye yönlendirir.
Genellikle Kimuky’nin devam eden “Babyshark” tehdit faaliyetine bağlı olan bu psikolojik manipülasyon taktiği, küresel bir tehdit haline geldi, İran ve Rusya’dan devlet destekli aktörler, 2024 ve 2025’teki Sekoia ve Proofpoint’in sonraki raporlarında açıklandığı gibi bunu benimsedi.
Sofistike bir sosyal mühendislik taktiği açıklandı
Yollar Güvenlik Merkezi (GSC), bu etkinliği 2025’in başlarında işaretleyerek, bu tür gizlenmiş kötü amaçlı yazılımlara ve anormal davranışlara karşı koymak için sağlam uç nokta tespiti ve yanıt (EDR) stratejilerinin acil ihtiyacının altını çizdi.
Kimuky’nin ClickFix kampanyaları, Güney Koreli bir diplomasi uzmanını hedefleyen Ocak 2025 saldırısında görüldüğü gibi, genellikle titizlikle hazırlanmış mızrak aktı e-postaları ile başlar.
Bir İsviçre gazetesi için Doğu Asya muhabiri olarak poz veren saldırgan, görsel bir temel senaryo (VBS) dosyası içeren kötü amaçlı bir URL vermeden önce kurbanı uzun süreli iletişimde buldu.
Tespitten kaçınmak için “7539518426” gibi rastgele dize eklemeleriyle gizlenmiş olan bu komut dosyası, komut ve kontrol (C2) sunucusundan yükleri indirmek için komutları yürüttü, planlanan görevler aracılığıyla kalıcılık oluşturmak ve kullanıcı verilerini ekspiltrate.
Mızrak-akıştan PowerShell istismarlarına kadar
Mart 2025’e kadar, grup daha sinsi bir ClickFix varyantına geçti, ABD Ulusal Güvenlik Yardımcılığını taklit etti ve kurbanları güvenli belgelere erişme kisvesi altında sağlanan bir “Code.txt” dosyasından kötü niyetli PowerShell komutlarını yapıştırdı.
Bu komutlar, ters sipariş gizlemesi ile gizlenmiş, daha önceki VBS desenlerini yansıtmış ve Raedom gibi C2 sunucularına bağlı[.]Kampanyalar arasında tutarlı taktikleri açığa çıkarın.
Başka bir örnek, kullanıcıları Chrome uzak masaüstü yüklemeleri için yönlendiren ve saldırganların güvenli kabuk (SSH) aracılığıyla uzaktan erişim kazanmalarını sağlayan açılır pencereleri gösteren sahte bir savunma iş portalı içeriyordu.
Bu tür yöntemler, Kimuky’nin kullanıcı güvenini kullanma ve geleneksel güvenlik önlemlerini atlamada uyarlanabilirliğini vurgulamaktadır.
“래일” (yarın) ve “지령” (komuta) gibi Kuzey Kore terminolojisi de dahil olmak üzere dilsel ipuçları, bu saldırıları gruba daha fazla ilişkilendirerek, tehdit ilişkilendirmesinde kültürel ve bağlamsal analizin rolünü vurgulamaktadır.
MITER ATT & CK altında kullanıcı yürütme: kötü amaçlı kopyalama ve yapıştır (T1204.004) olarak sınıflandırılan ClickFix taktiği, doğrudan istismarlar yerine sosyal mühendisliğe olan güveninden dolayı önemli bir zorluk oluşturmaktadır.
Genian EDR’nin bu tehditlerin izlenmesinde etkili olduğunu, PowerShell infazına görünürlük sağladığı ve CMD.EXE ve Schtasks.exe gibi sonraki süreçleri, eyleme geçirilebilir hafifletme için C2 iletişimlerini eşlemesini sağladı.
Koreli bir web portalının güvenlik arayüz kuruluşlarının taklit edilmesi, kötü niyetli komut dosyalarının istenmeyen yürütülmesini önlemek için güvenlik bilinci eğitimine ve proaktif uç nokta korumasına öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | 56233bac07f4f9c43585e485e70b6169, a523bf5dca0f2a4ace0cf76d9225343 (ve diğerleri) |
| C2 Alanları | honamo[.]Xyz, Raedom[.]Mağaza, Securedrive.fin-Tech[.]com (ve diğerleri) |
| C2 IPS | 1.223.129[.]234, 103.149.98[.]247, 115.92.4[.]123 (ve diğerleri) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin