Государственные APT пробуют ClickFix

ClickFix не революционизирует кампании этих групп, но заменяет этапы установки и исполнения в существующих цепочках заражения. Хотя на данный момент ClickFix используется только несколькими государственными группами, его рост популярности в киберпреступности и кампаниях по шпионажу позволяет предположить, что эта техника будет дальше проверена или принята на вооружение государственными структурами.

ClickFix - это техника социальной инженерии, которая использует диалоговые окна с инструкциями по копированию, вставке и запуску вредоносных команд на компьютере жертвы. Эта техника впервые была обнаружена в начале 2024 года, а затем была замечена в кампаниях государственных групп из нескольких стран. Северокорейские злоумышленники из группы TA427 использовали ClickFix в качестве одного из этапов своей цепочки заражения. Иранские и российские группы также использовали эту технику в своих кампаниях по шпионажу.

ClickFix может использоваться в электронных письмах или вредоносных вложениях, чтобы убедить пользователей выполнить вредоносные команды. Например, операторы TA427 отправляли электронные письма с просьбой организовать встречу с вымышленным дипломатом или вложениями, содержащими поддельные документы. При открытии вредоносного вложения пользователей направляли на контролируемый злоумышленниками сайт, где цели убеждали выполнить опасную команду PowerShell.

Хотя ClickFix в настоящее время используется только несколькими государственными группами, она становится все популярнее в киберпреступности и кампаниях по шпионажу. Это может быть связано с тем, что злоумышленники перенимают и тестируют ТТП, разработанные другими группами угроз. В будущем можно ожидать, что государственные структуры будут более широко применять технику ClickFix в своих кампаниях по шпионажу.

IPv4

• 115.92.4.123
• 118.194.228.184
• 121.179.161.230
• 121.179.161.231
• 14.34.85.86
• 172.86.111.75
• 210.179.30.213
• 221.144.93.250
• 38.180.157.197
• 5.231.4.94
• 80.66.66.197

Domains

• account-profile.servepics.com
• accounts-myservice.servepics.com
• accounts-porfile.serveirc.com
• drive.us-dos.securitel.com
• e-securedrive.mofa.mtomtech.co.kr
• freedrive.servehttp.com
• login-accounts.servehttp.com
• mail.ukrtelecom.eu
• microsoftonlines.com
• myaccounts-profile.servehttp.com
• office.rsvp
• raedom.store
• securedrive.dob.jp
• securedrive.fin-tech.com
• securedrive.netsecgroup.com
• securedrive.networkguru.com
• securedrive.opticalize.com
• securedrive.privatedns.org
• securedrive.root.sx
• securedrive.servehttp.com
• securedrive-mofa.servehttp.com
• ukrtelecom.com
• ukrtelecom.eu
• undocs.myvnc.com
• undocs.servehttp.com

URLs

• https://bit-albania.com/[REDACTED]/demo.php?ccs=cin
• https://office.rsvp/fin?document=2hg6739jhngdf7892w0p93u4yh5g
• https://raedom.store/[REDACTED]/demo.php?ccs=cin
• https://securedrive.fin-tech.com/docs/en/
• https://securedrive.fin-tech.com/docs/en/alert
• https://securedrive.fin-tech.com/docs/en/register
• https://securedrive.fin-tech.com/docs/en/src/pdf_0.pdf
• https://securedrive.fin-tech.com/docs/en/src/resp.php
• https://securedrive.fin-tech.com/docs/en/t.vmd
• https://securedrive.root.sx:8443/us.emb-japan.go.jp/doc/eh
• https://securedrive.root.sx:8443/us.emb-japan.go.jp/doc/eh/alert
• https://securedrive.root.sx:8443/us.emb-japan.go.jp/doc/eh/register

Emails

• [email protected]
• [email protected]
• [email protected]

SHA256

• 06816634fb019b6ed276d36f414f3b36f99b845ddd1015c2b84a34e0b8d7f083
• 07a45c7a436258aa81ed2e770a233350784f5b05538da8a1d51d03c55d9c0875
• 0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd
• 18ee1393fc2b2c1d56d4d8f94efad583841cdf8766adb95d7f37299692d60d7d
• 78aa2335d3e656256c50f1f2c544b32713790857998068a5fa6dec1fb89aa411
• 85db55aab78103f7c2d536ce79e923c5fd9af14a2683f8bf290993828bddeb50
• 8a8c57eedca1bd03308198a87cae7977d3c385f240c5c62ac7c602126a1a312f
• bfb11abb82ab4c788156df862a5cf4fa085f1ac3203df7a46251373d55cc587c
• e410ffadb3f5b6ca82cece8bce4fb378a43c507e3ba127ef669dbb84e3c73e61
• f9536b1d798bee3af85b9700684b41da67ff9fed79aae018a47af085f75c9e3e