Meerdere door de staat gesponsorde hackgroepen uit Iran, Noord-Korea en Rusland zijn gevonden in gebruik te nemen van de steeds populaire ClickFix Social Engineering-tactiek om malware te implementeren gedurende een periode van drie maanden van eind 2024 tot het begin van 2025.
De phishing -campagnes die de strategie aannemen, zijn toegeschreven aan clusters die zijn gevolgd als TA427 (aka Kimsuky), TA450 (aka Muddywater), Unk_remoterogue en TA422 (AKA APT28).
ClickFix is een initiële toegangstechniek geweest die voornamelijk is aangesloten bij cybercriminaliteitsgroepen, hoewel de effectiviteit van de aanpak ertoe heeft geleid dat deze ook door natiestatengroepen is aangenomen.
“De opname van ClickFix is geen revolutie teweeggebracht in de campagnes die worden uitgevoerd door TA427, TA450, UNK_REMOTEROGY en TA422, maar vervangt in plaats daarvan de installatie- en uitvoeringsfasen in bestaande infecties,” zei Enterprise Security Firm Proofpoint in een rapport dat vandaag is gepubliceerd.
Clickfix verwijst in een notendop naar een stiekeme techniek die gebruikers aanspoort om hun eigen machine te infecteren door een reeks instructies te volgen om kwaadaardige opdrachten te kopiëren, plakken en uit te voeren onder het voorwendsel om een probleem op te lossen, een captcha -verificatie te voltooien of hun apparaat te registreren.
Proofpoint zei dat het Kimsuky voor het eerst detecteerde met behulp van ClickFix in januari en februari 2025 als onderdeel van een phishing -campagne die gericht was op individuen in minder dan vijf organisaties in de denktanksector.
“TA427 maakte een eerste contact met het doelwit via een vergaderverzoek van een vervalste afzender die werd geleverd aan traditionele TA427 -doelen die werkten op Noord -Koreaanse zaken,” zei het Proofpoint -onderzoeksteam.
“Na een kort gesprek om het doelwit te betrekken en vertrouwen op te bouwen, zoals vaak wordt gezien in TA427-activiteit, stuurden de aanvallers het doelwit naar een door aanvallers gecontroleerde site waar ze het doel overtuigden om een PowerShell-commando uit te voeren.”
De aanvalsketen, legde het bedrijf uit, startte een multi-fase volgorde die culmineerde in de inzet van een open-source externe toegang Trojan genaamd Quasar Rat.
Het e -mailbericht beweerde afkomstig te zijn van een Japanse diplomaat en vroeg de ontvanger om een ontmoeting met de Japanse ambassadeur in de Verenigde Staten te regelen. In de loop van het gesprek stuurden de dreigingsacteurs een kwaadaardige PDF die een link naar een ander document bevatte met een lijst met vragen die tijdens de vergadering moesten worden besproken.
Klik op de link, stuurde het slachtoffer naar een nep -bestemmingspagina die de Japanse ambassadewebsite nabootst, die hen vervolgens ertoe bracht hun apparaat te registreren door een opdracht te kopiëren en te plakken in het Windows Run -dialoogvenster om de vragenlijst te downloaden.
“De ClickFix PowerShell -opdracht haalt en voert een tweede op afstand gehoste PowerShell -opdracht uit, die de Decoy PDF eerder in de keten (vragenlijst.pdf) aan de gebruiker heeft weergegeven,” zei Proofpoint. “Het document beweerde afkomstig te zijn van het ministerie van Buitenlandse Zaken in Japan en bevatte vragen over nucleaire proliferatie en beleid in Noordoost -Azië.”
Het tweede PowerShell -script is geconfigureerd om een visuele basisscript te maken dat elke 19 minuten wordt uitgevoerd door middel van een geplande taak, die op zijn beurt twee batchscripts downloadt die de payload van de quasar ratten maken, decoderen en uitvoeren. Het is de moeite waard erop te wijzen dat een variatie van deze aanvalsketen eerder in februari 2025 door Microsoft werd gedocumenteerd.
De tweede natiestaatgroep om aan te klikken voor ClickFix is de Iran-gekoppelde Muddywater-groep die gebruik heeft gemaakt van de techniek voor legitieme externe monitoring- en managementsoftware (RMM) -software zoals niveau voor het handhaven van persistente toegang.
De phishing-e-mails, verzonden op 13 en 14 november 2024, vallen samen met Microsoft’s Patch dinsdagupdates, vermomd als een beveiligingsupdate van de tech-gigant, die berichtontvangers vragen om clickfix-stijl instructies te volgen om een veronderstelde kwetsbaarheid aan te pakken.
“De aanvallers hebben de ClickFix -techniek geïmplementeerd door het doel te overtuigen om PowerShell eerst uit te voeren met beheerdersrechten, vervolgens een opdracht kopiëren en uitvoeren in de e -mailbody,” zei Proofpoint.
“De opdracht was verantwoordelijk voor het installeren van Remote Management and Monitoring (RMM) software – in dit geval niveau – waarna TA450 -operators de RMM -tool zullen misbruiken om spionage en gegevens uit de machine van het doelwit uit te voeren.”
Van de TA450 ClickFix -campagne wordt gezegd dat het zich richt op financiën, overheids-, gezondheids-, onderwijs- en transportsectoren in het Midden -Oosten, met de nadruk op de Verenigde Arabische Emiraten (VAE) en Saoedi -Arabië, evenals die in Canada, Duitsland, Zwitserland en de Verenigde Staten.
Ook waargenomen instappen De ClickFix -bandwagon is een vermoedelijke Russische groep die tegen het einde van vorig jaar als unk_remoterogue wordt gevolgd met behulp van de e -mails van het lokmiddel verzonden vanuit waarschijnlijke gecompromitteerde Zimbra -servers die een link naar een Microsoft Office -document bevatten.
De link bezoeken heeft een pagina weergegeven met instructies om code van de browser in hun terminal te kopiëren, samen met een YouTube -video -zelfstudie over hoe PowerShell te worden uitgevoerd. Het PowerShell-opdracht was uitgerust met mogelijkheden om JavaScript uit te voeren die PowerShell-code heeft uitgevoerd die is gekoppeld aan het Empire Command-and-Control (C2) framework.
Proofpoint zei dat de campagne 10 berichten naar individuen stuurde in twee organisaties die verband houden met een grote wapenfabrikant in de defensie -industrie. UNK_REMOTEROGY is ook gevonden om infrastructuuroverlapping te delen met een andere phishing -campagne die gericht was op defensie- en ruimtevaartentiteiten met links naar het lopende conflict in Oekraïne om webmailreferenties te oogsten via nep -inlogpagina’s.
“Meerdere voorbeelden van door de overheid gesponsorde acteurs die ClickFix gebruiken, hebben niet alleen de populariteit van de techniek onder staatsactoren aangetoond, maar ook het gebruik ervan door verschillende landen binnen enkele weken na elkaar,” zei het bedrijf. “Hoewel het geen aanhoudend gebruikte techniek is, is het waarschijnlijk dat meer bedreigingsacteurs uit Noord -Korea, Iran en Rusland ook ClickFix of May in de nabije toekomst hebben getest.”
