Kuzey Kore devlet destekli grup Kimuky (diğer adıyla Emerald Sleet, aka Velvet Chollima), sözde “ClickFix” taktiklerinden yararlanarak Güney Kore hedeflerine kötü amaçlı yazılım sunmaya çalışıyor.
Nispeten yeni bir taktik
ClickFix Sosyal Mühendislik Taktiği, kötü amaçlı yazılım satıcıları tarafından kullanılan ilk bahane nedeniyle adlandırıldı: Bir web sayfası okumak veya bir görüntülü görüşmeyi birleştirmek isteyen kullanıcılar, sayfanın veya DOC’un görüntülenemeyeceğini söyleyen sahte bir tarayıcı bildirimi gösteriliyor. Doğru veya mikrofon, “Düzelt” düğmesini tıklayana ve ana hatlarıyla belirtilen adımları izleyene kadar gerektiği gibi çalışamaz.
Ne yazık ki, özetlenen adımlar onları (genellikle) kopyalamaya, yapıştırmaya ve çalıştırmaya ve Web tarayıcısının dahil edilmesi ve kullanıcının dosyayı manuel olarak yürütmesi gerekmeden kötü amaçlı yazılımları indirip çalıştıran bir kötü amaçlı PowerShell komut dosyasını çalıştırır.
Taktik varyantları, kullanıcıları sahte insan doğrulama zorluklarını çözmek veya gerekli bir güvenlik güncellemesini yüklemek için adımları gerçekleştirmeyi içerir.
2024’ün ortasından bu yana, taktik, hedefli ve “püskürtme ve dua” kampanyalarında, çoğunlukla Windows kullanıcılarına ancak bazen Linux ve MacOS kullanıcılarına da çeşitli infosterers ve damlalık kötü amaçlı yazılım sunmak için kullanılmıştır.
Clickregister varyantı
Microsoft’un tehdit analistleri tarafından tespit edilen bu son saldırıda, Kuzey Koreli bilgisayar korsanları hedeflerle iletişim kuruyor, onlarla bir ilişki kuruyor ve PDF eki ile bir mızrak aktı e-postası gönderin.
Görüntülemek için alıcılar, cihazlarını kaydetmek için talimatlar sağlayan bir URL’ye yönlendirilir. Bu kayıt süreci, PowerShell’i yönetici olarak açmayı ve tehdit aktörleri tarafından sağlanan kod kodunu gerektirir:
Talimatlar (Kaynak: Microsoft)
“Yürütme üzerine kod, tarayıcı tabanlı bir uzak masaüstü aracı yükler ve uzak bir sunucudan sabit kodlu bir PIN ile bir sertifika dosyası alır. Geri ihlal edilen sistem daha sonra, indirilen sertifikayı ve PIN’i kullanarak cihazı kaydetmek için sunucu ile iletişim kurarak saldırganların cihaza erişmesini ve verileri dışarı atmasını sağlıyor ”diye açıkladı analistler.
“Bu taktik Ocak 2025’ten bu yana sınırlı saldırılarda gözlemlenmiş olsa da, Emerald Sleet’in operasyonlarında stratejik bir değişim anlamına geliyor. Geleneksel olarak, grup uluslararası ilişkilere katılan bireyleri, özellikle Kuzeydoğu Asya’ya odaklananları, STK’lar, devlet kurumları ve Kuzey Amerika, Güney Amerika, Avrupa ve Doğu Asya’daki medya kuruluşlarını hedeflemiştir. ”
Kullanıcılar kendi cihazlarını yüklediklerine kesinlikle dikkat etmelerine rağmen, ClickFix taktiği ve varyantlar, kullanıcıların teknoloji dışı ve iyi bir bahaneye karşı savunmasız olmasına dayanır.
Güvenlik farkındalığı ve aksisizasyon karşıtı eğitim sadece çok şey yapabilir. Kuruluşlar, çalışan sistemlerini mümkün olduğunca kilitlemeli ve ortak saldırı tekniklerini önlemek için saldırı yüzeyi azaltma kurallarını kullanmalıdır.