Kuzey Kore (TA427), İran (TA450) ve Rusya’dan (unk_remoterogue, TA422) hükümet destekli hack grupları artık ClickFix tekniğini ClickFix tekniğini casusluk kampanyalarında kullanıyor. Proofpoint’in bu yeni saldırı dalgasına ilişkin görüşleri hakkında bilgi edinin.
Proofpoint yakın zamanda tehlikeli bir sosyal mühendislik yöntemi olan ClickFix saldırısı ile ilgili bir gelişme hakkında bir gelişme keşfetti. Bildirildiğine göre, devlet destekli hack grupları artık bu tekniği kullanıyor, işletim sisteminden veya tanıdık uygulamalardan sahte hata mesajları veya güvenlik uyarıları sunarak kullanıcıların güvenini kullanıyor.
Kullanıcılar, bilgisayarlarının komut satırı arayüzünde bir kod indirmek ve çalıştırmak için kandırılır ve bunun sorunlarına bir çözüm olduğuna inanırlar. Ancak, çalıştırıldığında, bu kod kurbanın makinesinde kötü amaçlı komutlar yürütür.
Geçen yıl, hackread.com, TA571 ve ClearFake gibi grupların kullanmasından sonra Mart 2024’ten başlayarak siber suçlular arasında ClickFix saldırısının artan popülaritesi hakkında bir alarm verdi. Ekim 2024’te Sekoia, sahte Google Meet, Chrome ve Facebook sayfalarının kullanıcıları kötü amaçlı yazılımları indirmeleri için kandırdığı ClickFix saldırılarında bir artış gözlemledi.
En son ClickFix saldırıları dalgası, Temmuz 2024 ile 2025 başı arasında Kuzey Kore, İran ve Rusya destekli bilgisayar korsanları ClickFix’i olağan operasyonlarına dahil etti.
Kuzey Kore (TA427)
2025’in başlarında, TA427 (Kimuky, Emerald Squet), düşünce kuruluşu sektöründeki Kuzey Kore işlerinde çalışan 5 organizasyondan bireyleri hedef aldı. PowerShell komutlarına yönelik onları kandırmak için aldatıcı toplantı istekleri ve sahte web siteleri kullandılar. Başarılı bir saldırı, bir Japon diplomatının (Büyükelçi Shigeo Yamada) taklit edilmesini içeriyordu ve Quasarrat kötü amaçlı yazılımların kurulmasına yol açtı.
İran (TA450)
Kasım 2024’te TA450 (Muddywater, Mango Sandstorm) sahte Microsoft Güvenlik Güncelleme e -postalarıyla Orta Doğu’da, özellikle finans ve devlet sektörleri olmak üzere 39 kuruluşu hedef aldı. Kullanıcıları, saldırganların casusluk ve veri hırsızlığı için kullanmayı amaçladığı seviye RMM aracını yükleyen PowerShell komutlarını çalıştırmaya ikna etmek için ClickFix kullandılar. Daha sonra bu grup tarafından ClickFix’in başka kullanımı gözlenmedi.
Rusya (unk_remoterogue ve TA422)
Unk_remoterogue, Aralık 2024’te bir kez ClickFix kullandı, savunma endüstrisinde iki önemli silah üretim firmasında bireyleri hedef alarak, JavaScript’i ve daha sonra PowerShell’i Empire çerçevesine bağlı PowerShell’e kopyalayan/yapıştırma için Rus talimatları ile sahte bir Microsoft Office sayfasına bağlantı ile e -postaları gönderdi.
TA422 (SOFACY, APT28) Ekim 2024’te Ukrayna varlıklarını hedefleyen, bir SSH-UA tarafından gönderilen bir Google e-tablosunu taklit eden bir bağlantı ile kimlik avı e-postaları göndererek, bir SSH tüneli oluşturmak için bir PowerShell komutu sağlayan bir Recaptcha’ya yol açan bir bağlantı ile powershell komutu sağladı.
Ancak bu gruplar saldırı yöntemlerini tamamen değiştirmiyorlar. Bunun yerine, bir hedefin bilgisayarını başlangıçta nasıl enfekte ettikleri ve kötü amaçlı yazılımlar çalıştırdıkları için belirli adımları değiştirmek için ClickFix kullanıyorlar. Ayrıca, Proofpoint’in blog yayınına göre, muhtemelen faaliyetlerine sınırlı görünürlük nedeniyle ClickFix kullanan Çin hükümet destekli herhangi bir grup gözlemlemediler.
ClickFix henüz devlet destekli aktörler için standart bir araç olmasa da, artan popülaritesi, bu tekniğin önümüzdeki aylarda devlet destekli siber casusluk kampanyalarında daha yaygın hale gelebileceğini göstermektedir.