새로 발견된 ClickFix 피싱 캠페인이 피해자를 속여 악의적인 PowerShell 명령을 실행하게 하여 Havok 후속 침투 프레임워크를 통해 손상된 장치에 원격으로 접근하고 있습니다. ClickFix는 지난해 등장한 사회 공학적 전략으로, 위협 행위자들이 가짜 오류를 표시하는 웹사이트나 피싱 첨부 파일을 만들어 사용자가 이를 수정하도록 유도합니다. 이 버튼을 클릭하면 악의적인 PowerShell 명령이 Windows 클립보드에 복사되고, 사용자는 이를 "오류 수정"을 위해 명령 프롬프트에 붙여넣도록 요청받게 됩니다.
Fortinet의 Fortiguard Labs가 발견한 새로운 ClickFix 캠페인에서는 위협 행위자들이 "제한된 공지"가 검토 가능하다는 내용의 피싱 이메일을 보내고, 수신자들에게 첨부된 HTML 문서('Documents.html')를 열어보도록 요청합니다. 이 HTML을 열면 가짜 0x8004de86 오류가 표시되며, 이는 "One Drive" 클라우드 서비스에 연결하지 못했음을 나타내고, 사용자는 DNS 캐시를 수동으로 업데이트하여 오류를 수정해야 한다는 메시지가 표시됩니다.
이 PowerShell 명령은 위협 행위자의 SharePoint 서버에 호스팅된 다른 PowerShell 스크립트를 실행하려고 시도합니다. Fortiguard는 이 스크립트가 Windows 도메인 내의 장치 수를 쿼리하여 장치가 샌드박스 환경에 있는지 확인한다고 설명합니다. 만약 샌드박스 환경이라고 판단되면 스크립트는 종료됩니다. 그렇지 않다면, 스크립트는 Windows 레지스트리를 수정하여 장치에서 스크립트가 실행되었음을 나타내는 값을 추가합니다. 그 후에 Python이 장치에 설치되어 있는지 확인하고, 설치되어 있지 않다면 인터프리터를 설치합니다. 마지막으로, 동일한 SharePoint 사이트에서 Python 스크립트를 다운로드하여 Havok 후속 침투 명령 및 제어 프레임워크를 주입된 DLL로 배포합니다.
요약
- 새로 발견된 ClickFix 피싱 캠페인이 Havok 후속 침투 프레임워크를 통해 손상된 장치에 원격으로 접근한다.
- 이 캠페인에서는 가짜 오류 메시지를 통해 사용자를 속여 악의적인 PowerShell 명령을 실행하도록 유도한다.
- 이 PowerShell 명령은 위협 행위자의 SharePoint 서버에 호스팅된 다른 스크립트를 실행하려고 시도한다.
- 스크립트는 장치가 샌드박스 환경에 있는지 확인하고, 그렇지 않다면 Havok 프레임워크를 배포한다.
- Havok은 공격자가 손상된 장치를 원격으로 제어할 수 있게 해주는 오픈 소스 후속 침투 프레임워크이다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.