Saldırganlar Kalıcılığı Korumak İçin ClickFix'i PySoxy Proxying ile Birleştiriyor Linux

Saldırganlar Kalıcılığı Korumak İçin ClickFix'i PySoxy Proxying ile Birleştiriyor

Siber suçlular, kurbanların makinelerinde kötü amaçlı yazılım olmadan, kaldırma girişimlerinden sonra bile kalıcılığı sürdürmek için ClickFix saldırıl...

Siber suçlular, kurbanların makinelerinde kötü amaçlı yazılım olmadan, kaldırma girişimlerinden sonra bile kalıcılığı sürdürmek için ClickFix saldırılarını 10 yıllık açık kaynaklı Python SOCKS5 proxy'si PySoxy ile birleştirdi.

Kampanya, ClickFix saldırılarının tek seferlik kullanıcı yürütmesinin ötesinde modüler kullanım sonrası saldırılara doğru ilerlediğini ve saldırıların tanımlanmasını ve kontrol altına alınmasını zorlaştırdığını gösteren ReliaQuest'teki siber güvenlik araştırmacıları tarafından ayrıntılı olarak açıklandı.

ClickFix, kullanıcıları farkında olmadan kötü amaçlı komutlar çalıştırmaya veya zararlı verileri kendi makinelerine indirmeye yönlendiren bir sosyal mühendislik taktiğidir. Kötü amaçlı yazılım dağıtmak veya oturum açma kimlik bilgilerini çalmak için yaygın olarak kullanılan bir yöntem haline geldi.

ReliaQuest, 12 Mayıs tarihli bir blogda, araştırdıkları ClickFix saldırısının öne çıktığını, çünkü saldırganların ClickFix ile elde ettiği ilk erişimin engellenmesinin, saldırıyı mutlaka durdurmadığını söyledi. Bunun yerine proxy aracı, etkinliğin zamanlanmış bir görev aracılığıyla yeniden başlatılmasına izin veren yerel bir kalıcılık mekanizmasına sahipti.

Uzmanların Görüşleri

Sürekli Erişim için Kasıtlı Hazırlık

Teknik Analiz

Saldırganlar, ilk ClickFix ihlalinin hemen ardından başlatılmayan PySoxy'nin kullanıma sunulması konusunda dikkatli davrandılar.

Bunun yerine davetsiz misafirin çevre hakkında bilgi toplaması, olası takip hedeflerini belirlemesi ve ana bilgisayarın saldırgan tarafından kontrol edilen hazırlık altyapısıyla iletişim kurabildiğini doğrulaması zaman aldı. Ancak o zaman saldırının bir parçası olarak PySoxy tanıtıldı.

Detaylar ve Etkileri

ReliaQuest'in kıdemli siber tehdit istihbarat görevlisi analisti Ivan Righi, "Bu sekans önemli çünkü yalnızca bir defaya mahsus keşif değil, sürekli erişim için kasıtlı hazırlık yapıldığını gösteriyor" dedi.

Ancak proxy, saldırganlar tarafından işletilen kontrol sunucusuyla başarılı bir şekilde bağlantı kurduktan sonra son veri tanıtıldı.

Önemli Gelişmeler

Araştırmacılar, saldırganların PowerShell ve Python komut dosyaları aracılığıyla bunu yapmaya çalıştıklarını ve ayrıca bir Uzaktan Erişim Truva Atı (RAT) bırakmaya çalıştıklarını gözlemledi.

Sonuç ve Değerlendirme

Her iki kanal da uç nokta kontrolleri tarafından engellendi, ancak süreklilik mekanizması yine de önemliydi çünkü tekrarlanan yeniden yürütme girişimlerine izin veriyordu.

Righi, "Müdahale ekipleri için bu, kalıcılık ve ikincil araçları içeren ClickFix olaylarının, ana bilgisayar izolasyonu, tam yapı incelemesi ve tüm erişim yollarının ve aşamalı bileşenlerin kaldırıldığının doğrulanmasıyla birlikte aktif güvenlik ihlali araştırmaları olarak ele alınması gerektiği anlamına geliyor" dedi.

ReliaQuest, algılamayı atlamış olabilecek benzer ClickFix saldırılarına karşı koymak için, güvenlik ekiplerinin, engellenen bir C2 bağlantısını sınırlama olarak ele almak yerine, zamanlanmış görevleri incelemesini, Python yapıtlarını analiz etmesini ve proxy tarzı Python komut satırlarını avlamasını önerdi.

Gelecekte Ne Bekleniyor?

Bu ayın başlarında Avustralya Siber Güvenlik Merkezi (ACSC), kötü amaçlı yazılımları altyapı sağlayıcılarına ve diğer kuruluşlara dağıtmak amacıyla ClickFix'i kullanan yaygın bir kampanya hakkında bir uyarı yayınladı.

Paylaş: