Siber suçlular, bilinen bir sosyal mühendislik taktiği olan ClickFix saldırılarını, 10 yıllık açık kaynaklı bir Python SOCKS5 proxy aracı olan PySoxy ile birleştirerek yeni bir tehdit vektörü oluşturdu. Bu yöntem, kurban makinelerinde kötü amaçlı yazılım kullanmadan, hatta kaldırma girişimlerine rağmen kalıcılık sağlıyor. ReliaQuest güvenlik araştırmacıları tarafından detaylandırılan bu kampanya, ClickFix saldırılarının artık tek seferlik kullanıcı yürütmesinden modüler sömürü sonrası aşamalara geçtiğini gösteriyor. Bu durum, saldırıların tespit edilmesini ve kontrol altına alınmasını zorlaştırıyor.
ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutları çalıştırmaya veya zararlı yükleri indirmeye ikna eden bir sosyal mühendislik taktiğidir. Son yıllarda yaygın olarak kullanılan bu yöntem, genellikle kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak için kullanılır. ReliaQuest'in 12 Mayıs tarihli blog yazısına göre, araştırdıkları ClickFix saldırısı, saldırganların elde ettiği ilk erişimi engellemenin saldırıyı durdurmaya yetmemesiyle dikkat çekiyor. Bunun yerine, proxy aracı, planlanmış bir görev aracılığıyla etkinliğin yeniden başlamasına izin veren yerel bir kalıcılık mekanizması içeriyor.
Saldırganlar, PySoxy'yi dikkatli bir şekilde devreye soktu. İlk ClickFix ihlalinden hemen sonra başlatılmadı; bunun yerine, saldırgan ortam hakkında bilgi toplamak, olası hedefleri belirlemek ve ana bilgisayarın saldırgan kontrolündeki hazırlık altyapısıyla iletişim kurabildiğini doğrulamak için zaman harcadı. Ancak bundan sonra PySoxy saldırının bir parçası olarak tanıtıldı. ReliaQuest'ten Ivan Righi, bu sıralamanın önemli olduğunu belirterek, 'Bu, tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık olduğunu gösteriyor' dedi. Proxy, saldırganların kontrol sunucusuna başarılı bir şekilde bağlandıktan sonra nihai yük devreye sokuldu.
Araştırmacılar, saldırganların PowerShell ve Python betikleriyle nihai yükü yüklemeye çalıştığını, ayrıca doğrudan bir Uzaktan Erişim Truva Atı (RAT) bırakmayı denediğini gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması, tekrarlanan yürütme girişimlerine izin verdiği için hala önemliydi. Righi, 'Müdahale ekipleri için bu, kalıcılık ve ikincil araçlar içeren ClickFix olaylarının aktif bir ihlal soruşturması olarak ele alınması gerektiği anlamına geliyor. Ana bilgisayar izolasyonu, tam eser incelemesi ve tüm erişim yollarının ve aşamalı bileşenlerin kaldırıldığının doğrulanması gerekir' dedi.
Benzer ClickFix saldırılarına karşı korunmak için ReliaQuest, güvenlik ekiplerinin planlanmış görevleri incelemesini, Python eserlerini analiz etmesini ve proxy tarzı Python komut satırlarını avlamasını öneriyor. Engellenen bir C2 bağlantısını kapsama olarak ele almak yerine, bu tür işaretlerin aktif bir tehdit olarak değerlendirilmesi gerekiyor. Ayrıca, bu ayın başlarında Avustralya Siber Güvenlik Merkezi (ACSC), altyapı sağlayıcıları ve diğer kuruluşları hedef alan yaygın bir ClickFix kampanyası hakkında uyarıda bulundu. Bu saldırılar, kötü amaçlı yazılım dağıtmak için ClickFix taktiğini kullanıyor.
Sonuç olarak, ClickFix saldırılarının PySoxy gibi araçlarla birleşmesi, siber tehditlerin evrimleştiğini ve daha karmaşık hale geldiğini gösteriyor. Kuruluşların, sadece ilk erişimi engellemeye odaklanmak yerine, kalıcılık mekanizmalarını ve ikincil araçları da dikkate alan kapsamlı bir güvenlik stratejisi benimsemesi gerekiyor. Düzenli güvenlik farkındalığı eğitimleri, uç nokta koruma çözümlerinin güncellenmesi ve olay müdahale planlarının bu tür senaryolara hazırlıklı olması, bu yeni tehditlere karşı etkili bir savunma sağlayabilir.
Kaynak: infosecurity-magazine.com