Kuzey Kore, İran ve Rusya bağlantılı gelişmiş kalıcı tehdit (APT) gruplarının, ClickFix adı verilen yeni bir sosyal mühendislik taktiğini kullandığı belirlendi. Bu yöntem, sahte yazılım siteleri veya belge paylaşım platformlarını taklit ederek kurbanları kandırmaya dayanıyor.
Dünya Genelinde Çok Yönlü Saldırılar Devam Ediyor
Saldırganlar, kullanıcıları sahte hata mesajlarıyla yönlendiriyor. Kurban, indirme işleminin başarısız olduğunu düşünen bir “Düzelt” butonuna tıklıyor. Bu buton, kullanıcının PowerShell ya da komut satırında bir komut çalıştırmasını istiyor. Komut çalıştırıldığında ise zararlı yazılım sisteme bulaşıyor.
Microsoft Tehdit İstihbaratı ekibi, Kimsuky adlı Kuzey Kore bağlantılı grubun bu yöntemi kullandığını şubat ayında duyurdu. Grup, hedef aldığı düşünce kuruluşlarına sahte Japon diplomatik e-postaları gönderdi. Güven ilişkisi kurulduktan sonra gönderilen PDF dosyası, kurbanı sahte bir güvenli sürücü sayfasına yönlendirdi. Bu sayfada kullanıcıdan bir PowerShell komutu kopyalayıp çalıştırması istendi.
Komut çalıştırıldığında sistemde kalıcılık sağlayan görevler oluşturuldu. Ardından QuasarRAT adlı zararlı yazılım yüklendi. Kullanıcının dikkatini dağıtmak için sahte bir PDF belgesi gösterildi.
İran bağlantılı MuddyWater grubu, 2024 Kasım ayında Orta Doğu’daki 39 kurumu hedef aldı. Kurbanlara Microsoft’tan gelmiş gibi görünen güvenlik uyarıları gönderildi. Kullanıcılardan PowerShell üzerinden yönetici olarak bir komut çalıştırmaları istendi. Komut, Level adlı bir uzaktan izleme yazılımını indirerek saldırganlara sistem üzerinde kontrol sağladı.
2024 Aralık ayında Rusya bağlantılı UNK_RemoteRogue grubu, büyük bir silah üreticisiyle bağlantılı iki kurumu hedef aldı. Saldırganlar, ele geçirdikleri e-posta sunucularından gönderilen sahte Microsoft Office e-postalarıyla kurbanlara ulaştı. Kurbanlar, içeriğindeki bağlantıya tıkladığında sahte bir Word belgesine yönlendirildi. Sayfada Rusça yönergeler ve bir YouTube videosu yer aldı. Komut çalıştırıldığında JavaScript üzerinden PowerShell devreye girdi ve saldırganların kontrol merkezine bağlantı sağlandı.
GRU bağlantılı APT28 grubu ise ClickFix yöntemini ilk kez 2024 Ekim ayında kullandı. Grup, sahte bir Google kimlik avı daveti gönderdi. Kurbanlar reCAPTCHA aşamasından geçtikten sonra ekrana gelen PowerShell komutlarını çalıştırmaya yönlendirildi. Bu komutlar SSH tüneli kurarak saldırganların sisteme arka kapıdan erişmesini sağladı.
ClickFix yöntemi, kullanıcının komut çalıştırma konusundaki bilgisizliğini hedef alıyor. Devlet destekli saldırı grupları bu yöntemi hızla benimsedi. Uzmanlar, kullanıcıların özellikle yöneticilik yetkisiyle çalıştıracakları komutlara karşı temkinli olması gerektiğini vurguluyor.
