Kötü şöhretli Kuzey Kore tehdit grubu Kimuky, kullanıcıları kendi sistemlerinde kötü niyetli senaryolar yürütmeye kandırmak için “ClickFix” olarak bilinen sofistike bir sosyal mühendislik taktiği benimsedi.
Başlangıçta Nisan 2024’te Proofpoint araştırmacıları tarafından tanıtılan bu aldatıcı teknik, kurbanları tarayıcı hatalarını gidermeleri veya güvenlik belgelerini doğrulamaları gerektiğine inanmaya ve sonuçta manuel kod yürütme yoluyla kendi uzlaşmalarına katılmalarına neden oluyor.
ClickFix metodolojisi, psikolojik manipülasyon taktiklerinde önemli bir evrimi temsil eder ve kötü niyetli komutları meşru sorun giderme prosedürleri olarak gizler.
Mağdurlar, Google Chrome gibi güvenilir kaynaklardan kaynaklanan sahte hata mesajlarıyla karşılaşır ve görünüşte masum kodu PowerShell konsollarına kopyalayıp yapıştırmalarını ister.
Bu yaklaşım, teknik güvenlik açıklarından ziyade insan davranışlarından yararlanarak geleneksel güvenlik önlemlerini etkili bir şekilde atlar ve tespiti geleneksel uç nokta koruma sistemleri için önemli ölçüde daha zor hale getirir.
Güçlü analistler, 2025 yılı boyunca birden fazla saldırı kampanyası belirlediler ve burada Kimuky operatörleri Güney Kore’deki yüksek değerli hedeflere karşı ClickFix taktiklerini başarılı bir şekilde kullandılar.
Güvenlik araştırmacıları, sofistike mızrak aktı operasyonları yoluyla diplomasi ve ulusal güvenlik uzmanlarını hedefleyen grubu gözlemleyerek tekniğin uç nokta koruma sistemlerini atlatmada etkinliğini gösterdi.
.webp)
Kampanyalar, basit VBS tabanlı saldırılardan daha sofistike PowerShell uygulamalarına dönüştü ve savunma karşı önlemlerine sürekli uyum sağladı.
Son araştırmalar, Kimuky’nin ClickFix’i devam eden “Babyshark” tehdit faaliyetlerine entegre ettiğini ve İngilizce, Fransızca, Almanca, Japonca, Koreli, Rusça ve Çince’de çok dilli eğitim kılavuzlarını kullandığını ortaya koydu.
Saldırganlar, hükümet yetkilileri, haber muhabirleri ve güvenlik personeli de dahil olmak üzere meşru kuruluşları, şifreli arşivler veya otantik portalları ve hizmetleri taklit etmek için tasarlanmış aldatıcı web siteleri aracılığıyla kötü niyetli yükler sunmadan önce güven oluşturmak için taklit eder.
Gelişmiş gizleme ve kalıcılık mekanizmaları
Kimuky’nin ClickFix uygulamasının teknik sofistike olması, modern güvenlik çözümlerini atlatmak için tasarlanmış kaçınma tekniklerinde dikkate değer bir ilerleme göstermektedir.
.webp)
Kötü amaçlı yazılım, kötü niyetli PowerShell komutlarını gizlemek için ters sıralı dize gizlemesi kullanır, bu da tam yürütme kapasitesini korurken görsel incelemeyi neredeyse imkansız hale getirir.
Tipik bir gizlenmiş komut yapısı şu şekilde görünür:-
$value="tixe&"'atad-mrof/trapitlum' epyTtnetnoC-"
$req_value=-join $value.ToCharArray()[-1..-$value. Length];
cmd /c $req_value;exit;
Bu teknik, daha sonra PowerShell’in karakter dizisi manipülasyon işlevleri aracılığıyla çalışma zamanında yeniden yapılandırılan ters iplerde kötü niyetli işlevsellik depolar.
Kötü amaçlı yazılım, komut yapıları boyunca “7539518426” gibi rastgele sayısal diziler ekleyerek işlemlerini daha da gizler ve yürütme sırasında bu işaretleyicileri kaldırmak için Windows’un yerel dize değiştirme işlevselliğini kullanır ve etkili bir şekilde dinamik bir şifre çözme işlemi oluşturur.
Başarılı bir şekilde konuşlandırıldıktan sonra, kötü amaçlı yazılım planlanan görev oluşturma yoluyla kalıcılık oluşturur ve “demo.php? CCS = CIN” ve “demo.php? Ccs = cout” dahil olmak üzere ayırt edici URI modelleri kullanarak komut ve kontrol sunucuları ile iletişimi sürdürür.
Altyapı birden fazla ülkeyi kapsıyor ve son kampanyalar konamo.xyz ve raedom.store gibi alanlarla iletişim kurarak dinamik DNS hizmetlerini kullanıyor.
Kampanyalar arasında gözlemlenen tutarlı sürüm tanımlayıcısı “sürüm: RE4T-GT7J-KJ90-JB6F-VG5F”, Kimuky’nin daha geniş Babyshark operasyonuyla bağlantıyı doğrular.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi