ClickFix ve PySoxy Birleşimi: Kalıcılık Sağlayan Yeni Siber Tehdit Yazılım

ClickFix ve PySoxy Birleşimi: Kalıcılık Sağlayan Yeni Siber Tehdit

Siber suçlular, ClickFix saldırılarını PySoxy proxy ile birleştirerek kötü amaçlı yazılım kullanmadan kalıcı erişim sağlıyor. ReliaQuest, bu yeni takt

Siber suçlular, ClickFix sosyal mühendislik saldırılarını 10 yıllık açık kaynak Python SOCKS5 proxy aracı PySoxy ile birleştirerek, kurban makinelerinde kötü amaçlı yazılım olmadan kalıcılık sağlamayı başardı. ReliaQuest tarafından detaylandırılan bu kampanya, ClickFix saldırılarının tek seferlik kullanıcı yürütmesinden modüler sömürü sonrası aşamaya geçtiğini gösteriyor. Bu durum, saldırıların tespit edilmesini ve kontrol altına alınmasını zorlaştırıyor.

ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutlar çalıştırmaya veya zararlı yükler indirmeye yönlendiren bir sosyal mühendislik taktiğidir. Yaygın olarak kötü amaçlı yazılım dağıtmak veya kimlik bilgilerini çalmak için kullanılır. ReliaQuest, 12 Mayıs tarihli blog yazısında, inceledikleri ClickFix saldırısının, saldırganların elde ettiği ilk erişimi engellemenin müdahaleyi durdurmadığını vurguladı. Bunun yerine, proxy aracı, zamanlanmış bir görev aracılığıyla etkinliği yeniden başlatan yerel bir kalıcılık mekanizmasına sahipti.

Saldırganlar, PySoxy'yi dikkatlice devreye soktu. İlk ClickFix ihlalinden hemen sonra başlatılmadı. Bunun yerine, saldırgan ortam hakkında bilgi toplamak, olası hedefleri belirlemek ve ana bilgisayarın saldırgan kontrolündeki altyapı ile iletişim kurabildiğini doğrulamak için zaman harcadı. Ancak bundan sonra PySoxy saldırıya dahil edildi. ReliaQuest kıdemli siber tehdit istihbarat analisti Ivan Righi, 'Bu sıralama, sadece tek seferlik keşif değil, sürekli erişim için kasıtlı bir hazırlık olduğunu gösteriyor' dedi.

Proxy, saldırganların kontrol sunucusuna başarıyla bağlandıktan sonra nihai yük devreye sokuldu. Araştırmacılar, saldırganların PowerShell ve Python betikleriyle bunu denediğini, ayrıca bir Uzaktan Erişim Truva Atı (RAT) bırakmaya çalıştığını gözlemledi. Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak kalıcılık mekanizması, tekrarlanan yürütme girişimlerine izin verdiği için hala önemliydi. Righi, 'Müdahale ekipleri, kalıcılık ve ikincil araçlar içeren ClickFix olaylarını aktif ihlal soruşturmaları olarak ele almalı ve ana bilgisayar izolasyonu, tam eser incelemesi ve tüm erişim yolları ile hazırlanmış bileşenlerin kaldırıldığını doğrulamalıdır' dedi.

Paylaş: