ClickFix Saldırıları Evrim Geçiriyor: Kalıcı Erişim İçin PySoxy Proxy Kullanımı Windows

ClickFix Saldırıları Evrim Geçiriyor: Kalıcı Erişim İçin PySoxy Proxy Kullanımı

Siber suçlular, ClickFix tuzaklarını PySoxy proxy aracıyla birleştirerek kötü amaçlı yazılım olmadan kalıcı erişim sağlıyor. Bu yeni taktik, güvenlik

Siber suçlular, ClickFix saldırılarını on yıllık açık kaynaklı bir Python SOCKS5 proxy aracı olan PySoxy ile birleştirerek, kurbanların cihazlarında kötü amaçlı yazılım bulunmasa bile kalıcı erişim sağlamayı başarıyor. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan bu kampanya, ClickFix saldırılarının artık tek seferlik kullanıcı yürütmelerinin ötesine geçerek modüler post-exploitation aşamasına evrildiğini gösteriyor. Bu durum, saldırıların tespit edilmesini ve kontrol altına alınmasını zorlaştırıyor.

ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutları çalıştırmaya veya zararlı yükleri indirmeye kandıran bir sosyal mühendislik taktiğidir. Yaygın olarak kötü amaçlı yazılım dağıtmak veya giriş bilgilerini çalmak için kullanılır. ReliaQuest, 12 Mayıs tarihli blog yazısında, inceledikleri ClickFix saldırısının, saldırganların elde ettiği ilk erişimin engellenmesinin mutlaka saldırıyı durdurmadığını belirtti. Bunun yerine, proxy aracı, zamanlanmış bir görev aracılığıyla etkinliğin sürekli olarak yeniden başlamasını sağlayan yerel bir kalıcılık mekanizmasına sahipti.

Saldırganlar, PySoxy'yi tanıtma konusunda dikkatliydi ve ilk ClickFix uzlaşmasından hemen sonra başlatmadı. Bunun yerine, ortam hakkında bilgi toplamak, potansiyel hedefleri belirlemek ve ana bilgisayarın saldırgan kontrollü hazırlık altyapısı ile iletişim kurabildiğini doğrulamak için zaman harcadılar. ReliaQuest kıdemli siber tehdit istihbarat analisti Ivan Righi, "Bu sıra, saldırganların sürekli erişim için kasıtlı bir hazırlık yaptığını gösteriyor, sadece tek seferlik keşif değil" dedi. Proxy, saldırganların kontrol sunucusuna başarılı bir bağlantı kurduktan sonra nihai yük devreye sokuldu.

Nasıl Önlem Alınmalı?

Araştırmacılar, saldırganların PowerShell ve Python betikleri aracılığıyla girişimlerde bulunduğunu ve ayrıca bir Uzaktan Erişim Truva Atı (RAT) bırakmaya çalıştığını gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması önemini korudu çünkü tekrarlanan yürütme girişimlerine izin verdi. Righi, müdahale ekiplerine, kalıcılık ve ikincil araçlar içeren ClickFix olaylarının aktif bir uzlaşma soruşturması olarak ele alınması gerektiğini belirtti. ReliaQuest, güvenlik ekiplerine zamanlanmış görevleri incelemelerini, Python yapılarını analiz etmelerini ve proxy tarzı Python komut satırlarını aramalarını öneriyor.

Paylaş: