Kuzey Kore devlet oyuncusu 'Kimuky' ('Emerald Squet' veya 'Velvet Chollima'), şimdi yaygın ClickFix kampanyalarından esinlenen yeni bir taktik kullanılarak gözlendi.
ClickFix, siber suç topluluğunda, özellikle Infostealer kötü amaçlı yazılımları dağıtmak için çekiş kazanan bir sosyal mühendislik taktiğidir.
Aldatıcı hata mesajları veya kurbanları genellikle PowerShell komutları aracılığıyla kötü amaçlı kod yürütmeye yönlendiren ister. Bu eylemler tipik olarak kötü amaçlı yazılım enfeksiyonlarına yol açar.
Microsoft'un tehdit istihbarat ekibinin bilgilerine göre, saldırgan Güney Kore hükümet yetkilisi olarak maskeleniyor ve yavaş yavaş kurbanla bağlantı kuruyor.
Belli bir güven seviyesi belirlendikten sonra, saldırgan PDF ekli bir mızrak aktı e-postası gönderir. Ancak, belgeyi okumak isteyen hedefler, PowerShell'i yönetici olarak çalıştırmalarını ve saldırgan tarafından sağlanan kodu yapıştırmalarını söyleyen sahte bir cihaz kayıt bağlantısına yönlendirilir.
Yürütüldüğünde, kod tarayıcı tabanlı bir uzak masaüstü aracı yükler, sabit kodlu bir PIN kullanarak bir sertifika indirir ve kurbanın cihazını uzak bir sunucu ile kaydeder ve saldırgana veri söndürme için doğrudan erişim sağlar.
Microsoft, bu taktiği Ocak 2025'ten itibaren sınırlı kapsam saldırılarında gözlemlediğini ve Kuzey Amerika, Güney Amerika, Avrupa ve Doğu Asya'daki uluslararası ilişkiler kuruluşlarında, STK'larda, devlet kurumlarında ve medya şirketlerinde çalışan bireyleri hedeflediğini söyledi.
Microsoft, bu etkinlik tarafından hedeflenen müşterileri bilgilendirdi ve başkalarını yeni taktikleri not etmeye ve istenmeyen tüm iletişimleri çok dikkatli bir şekilde ele almaya çağırıyor.
Microsoft, “Bu taktiğin sadece Ocak 2025'ten bu yana sınırlı saldırılarda kullanılmasını gözlemlemiş olsak da, bu değişim geleneksel casusluk hedeflerinden ödün vermek için yeni bir yaklaşımın göstergesidir” diyor.
Kimuky gibi ulus devlet aktörleri tarafından ClickFix taktiklerinin benimsenmesi, saldırının gerçek operasyonlardaki etkinliğinin bir kanıtıdır.
Kullanıcılar, özellikle yönetici ayrıcalıklarıyla yaparken, çevrimiçi olarak kopyaladıkları bilgisayar kodunda yürütme istekleriyle karşılaşırken dikkatli olmalıdır.
Kötü niyetli reklamlar sahte captcha sayfaları aracılığıyla lumma infostealer'ı itiyor
Kimuky Hacker'lar uzaktan erişim için yeni özel RDP sargısı kullanıyor
Yüzlerce sahte reddit sitesi Lumma Stealer kötü amaçlı yazılımını itiyor
Telegram Captcha sizi kötü niyetli PowerShell komut dosyaları çalıştırıyor
Sahte Homebrew Google Reklamlar Mac kullanıcılarını kötü amaçlı yazılımlarla hedefleyin
Kaynak: Bleeping Computer