Saldırının Genel Çerçevesi
ClickFix kampanyası, MIMICRAT (AstarionRAT olarak da bilinen) adlı daha önce belgelenmemiş bir uzaktan erişim trojanını yaymak için ele geçirilmiş meşru web sitelerini kötüye kullanıyor. Kampanya, farklı sektörlerde ve coğrafyalarda faaliyet gösteren birçok ele geçirilmiş siteyi teslimat altyapısı olarak kullanıyor. Bu altyapı, yüksek operasyonel sofistikasyon seviyesiyle dikkat çekiyor.
Kampanya, çok aşamalı bir saldırı zinciri içeriyor. İlk aşamada, ele geçirilen bir Banka Kimlik Numarası (BIN) doğrulama servisi olan bincheck[.]io sitesine kötü amaçlı JavaScript kodu enjekte ediliyor. Bu kod, harici bir PHP betiğini çağırarak kurbana sahte bir Cloudflare doğrulama sayfası sunuyor ve kullanıcıdan Windows Çalıştır iletişim kutusuna bir komut yapıştırmasını istiyor. Bu komut, ikinci aşama PowerShell betiğini indirip çalıştırıyor.
Saldırı Zinciri ve Teknik Detaylar
İkinci aşama PowerShell betiği, Windows Event Tracing (ETW) ve Antimalware Scan Interface (AMSI) engellemelerini aşmak için tasarlanmış. Bu betik, Lua diliyle yazılmış bir shellcode yükleyicisini indiriyor. Son aşamada, Lua betiği bellekte şifrelenmiş shellcode’u çözüyor ve MIMICRAT’ı çalıştırıyor. Trojan, C2 sunucusuyla HTTPS üzerinden iletişim kuruyor ve bu iletişim, meşru web analiz trafiğine benzer HTTP profilleri kullanıyor.
MIMICRAT, Windows token taklidi, SOCKS5 proxy tünelleme ve kapsamlı sömürü sonrası yetenekler sunan 24 komut seti destekli özel bir C++ RAT olarak öne çıkıyor. Bu komutlar arasında süreç ve dosya sistemi kontrolü, etkileşimli kabuk erişimi, token manipülasyonu ve shellcode enjeksiyonu yer alıyor.
Hedefler ve Coğrafi Yayılım
Kampanya, 17 farklı dili destekleyerek kurbanların tarayıcı dil ayarlarına göre tuzak içeriğini dinamik olarak yerelleştiriyor. Bu sayede geniş çaplı ve fırsatçı bir hedefleme gerçekleştiriliyor. Belirlenen kurbanlar arasında ABD merkezli üniversiteler ve kamu forumlarında aktif çok sayıda Çince konuşan kullanıcı bulunuyor. Bu durum, saldırının hem kurumsal hem de bireysel kullanıcıları kapsayan çok yönlü bir tehdide işaret ettiğini gösteriyor.
Kampanyanın Altyapısal Bağlantıları
ClickFix kampanyası, Huntress tarafından daha önce belgelenen ve Matanbuchus 3.0 yükleyicisinin dağıtımına yol açan başka bir kampanyayla taktiksel ve altyapısal örtüşmeler gösteriyor. Matanbuchus 3.0, aynı RAT için bir kanal görevi görüyor. Bu bağlantı, saldırganların farklı varyantları ve yöntemleri kullanarak fidye yazılımı dağıtımı veya veri sızdırma gibi nihai hedeflere ulaşmayı amaçladığını düşündürüyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Ele geçirilmiş web sitelerinden gelen trafiği ve JavaScript içeriklerini düzenli olarak analiz edin.
- PowerShell komutlarının anormal kullanımını tespit etmek için EDR çözümlerinde özel kurallar oluşturun.
- ETW ve AMSI engelleme tekniklerine karşı gelişmiş antivirüs ve davranış analizi araçları kullanın.
- HTTPS trafiğinde olağan dışı profiller ve C2 iletişimlerini SIEM sistemleriyle izleyin.
- Tarayıcı dil ayarlarına göre değişen içeriklere karşı web uygulama güvenlik duvarı (WAF) kuralları geliştirin.
- Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu ile kritik sistemlere erişimi sınırlandırın.
- Fidye yazılımı ve veri sızıntısı risklerine karşı düzenli yedekleme ve olay müdahale planları hazırlayın.
- Kullanıcı eğitimleriyle sosyal mühendislik ve sahte doğrulama sayfalarına karşı farkındalığı artırın.
Teknik Özet
- Kullanılan zararlı yazılım: MIMICRAT (AstarionRAT), C++ ile geliştirilmiş, 24 komut destekli RAT.
- Hedef sektörler: Eğitim, kamu forumları ve çeşitli kurumsal yapılar.
- Kullanılan teknikler: JavaScript enjeksiyonu, PowerShell zinciri, ETW ve AMSI engelleme, Lua tabanlı shellcode yükleyici.
- Saldırı zinciri: Ele geçirilmiş web sitesi → kötü amaçlı JavaScript → sahte Cloudflare doğrulama → PowerShell komutu → ikinci aşama PowerShell betiği → Lua shellcode yükleyici → MIMICRAT implantı.
- Temel savunma: Güncel yamalar, EDR ve SIEM entegrasyonları, ağ segmentasyonu, MFA ve kullanıcı farkındalığı.