Windows makinesine saldırmak için ClickFix taktiği kullanan bilgisayar korsanları

   Mart 3, 2025  Posted in CyberSecurityNews


Windows Machine'e Saldırmak İçin Tıklama Taktiği

Tehdit aktörlerinin, Windows sistemlerini tehlikeye atmak için sosyal mühendislik taktiklerini değiştirilmiş açık kaynaklı araçlarla birleştiren çok aşamalı bir saldırı zinciri kullandığı sofistike bir kimlik avı kampanyası.

Mart 2025 itibariyle aktif olan kampanya, kullanıcıları kötü amaçlı kod yürütmeye kandırmak için ClickFix tekniğini kullanıyor. Sonuçta Havoc Komut ve Kontrol (C2) çerçevesinin özelleştirilmiş bir sürümünü dağıtır. Bu saldırı, tespitten kaçınmak için psikolojik manipülasyonu bulut hizmeti kötüye kullanımı ile harmanlayan gelişen tehditleri vurgulamaktadır.

Saldırı, acil bir belge bildirimi olarak maskelenen bir kimlik avı e -postasıyla başlar. Bu e -postalara, kullanıcılara bir PowerShell komutunu terminallerine kopyalayıp yapıştırmayı öğreten fabrikasyonlu bir hata mesajı görüntüleyen belgeler.html adlı bir HTML dosyası eklenir.

Bu ClickFix taktiği, kurbanın görünür teknik sorunları çözme istekliliğini avlar ve geleneksel dosya tabanlı algılama yöntemlerini atlar.

Gömülü PowerShell komutu, saldırganlar tarafından kontrol edilen bir SharePoint URL’sinden bir komut dosyasını alır. Bu senaryo (payload_20250112_074319.ps1), sanal alan ortamlarını algılamak için etki alanı bilgisayar sayısının doğrulanması da dahil olmak üzere anti-analiz kontrolleri yapar.

Saldırı akışı

Daha sonra kayıt defteri girişlerini silerek kalıcılık oluşturur HKCU:\Software\Microsoft ve sistemi benzersiz bir enfeksiyon tanımlayıcısı ile işaretlemek.

Çevre sanal alan kontrollerini geçerse, komut dosyası varlığını kontrol eder. pythonw.exe. Yoksa, bir uzak Python Shellcode yükleyici (payload_20250107_015913.py).

Kısmen Rusça yazılan yükleyici, bellek tahsis eder, kabuk kodu yazar ve bir sonraki aşamayı dağıtmak için yürütür: GitHub’dan kaynaklanan yansıtıcı bir kabuk kodu yükleyici olan Kaynldr. Kaynldr, disk artefaktlarından ayrılmadan kötü niyetli bir DLL yüklemek için API karma ve doğrudan bellek manipülasyonu kullanır1.

Havoc Demon DLL & Sharepoint C2 Altyapı

Son yük, kobalt grevine benzer açık kaynaklı bir sömürü sonrası çerçeve olan Havoc’un değiştirilmiş bir sürümüdür. Standart tahribat uygulamalarından farklı olarak, bu varyant, saldırgan kontrollü SharePoint dosyalarıyla iletişim kurmak için Microsoft Graph API uç noktalarını kullanır ve kötü niyetli trafiği meşru bulut hizmeti istekleriyle harmanlar.

Kötü amaçlı yazılım, SharePoint’in varsayılan belge kütüphanesinde iki dosya oluşturur:

  • {VictimID}pD9-tKout Kurbandan şifreli veri göndermek için
  • {VictimID}pD9-tKin Komut almak için1.

Kontrol aşaması sırasında, kötü amaçlı yazılım sistem meta veri ana bilgisayar adı, IP adresi, işletim sistemi detayları ve ayrıcalık durumu-rastgele oluşturulan bir anahtarla AES-256-CTR kullanarak şifrelenir.

Komutlar SharePoint API çağrıları aracılığıyla alınır ve adli ayak izlerini en aza indirmek için geri alındıktan hemen sonra yanıtlar silinir, Fortinet raporunu okur.

C2 Logic’i Microsoft Graph API etkileşimlerine yerleştirerek, saldırganlar SharePoint ve Office 365 hizmetleriyle ilişkili güveni kullanırlar.

AES şifreleme ve HTTPS trafiğinin kullanımı ağ tabanlı algılamayı daha da karmaşıklaştırır. FortiGuard araştırmacıları, kötü amaçlı yazılımların dosya eksfiltrasyonu, yanal hareket ve Kerberos bilet manipülasyonu, Havoc’un kamu deposundaki yansıtma özelliklerini de dahil olmak üzere 50’den fazla komutu desteklediğini belirtiyor.

Hafifletme

Fortinet, saldırı zincirindeki bileşenleri engellemek için imzalar yayınladı:

  • HTML/Agent.A5D4!tr İlk kimlik avı HTML için
  • PowerShell/MalwThreat!ebc5FT Ve Python/Agent.DF60!tr sonraki komut dosyaları için
  • W64/Havoc.L!tr Havok yükü için.

Firmanın içerik silahsızlandırılması ve yeniden yapılandırma (CDR) hizmeti kötü amaçlı makroları nötralize ederken, backdoor.havoc.Agent IPS imza C2 iletişimini hedefler. Kuruluşlara şu tavsiye edilir:

  1. Kullanıcıları terminal komutlarını içeren sosyal mühendislik yemlerini tanımak için eğitin
  2. Anormal dosya oluşturma modelleri için SharePoint’i izleyin
  3. PowerShell infazını admin olmayan bağlamlarda kısıtlayın.

Havoc Gain Traction gibi açık kaynaklı hücum çerçeveleri olduğundan, API güdümlü bulut platformlarının sürekli izlenmesi, gizli C2 kanallarının tanımlanması için kritik hale gelir.

Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.



Source link