การโจมตีแบบ ClickFix กำลังได้รับความนิยมเพิ่มขึ้นในหมู่แฮ็กเกอร์ โดยเฉพาะกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ, อิหร่าน และรัสเซีย ซึ่งได้นำเทคนิคนี้ไปใช้ในปฏิบัติการล่าสุด
ClickFix เป็นเทคนิค Social Engineering ที่เว็บไซต์อันตรายจะปลอมตัวเป็นแพลตฟอร์มซอฟต์แวร์ หรือบริการแชร์เอกสารที่ดูน่าเชื่อถือ ซึ่งหลอกผู้ใช้ให้ตกเป็นเหยื่อผ่านฟิชชิ่งอีเมล หรือโฆษณาแฝงมัลแวร์ โดยระบบจะแสดงข้อความแจ้งข้อผิดพลาดปลอม เช่น เอกสารเปิดไม่ได้ หรือการดาวน์โหลดล้มเหลว
จากนั้นเหยื่อจะถูกหลอกให้คลิกปุ่ม "Fix" ซึ่งจะให้คำแนะนำให้รันสคริปต์ PowerShell หรือรันคำสั่งผ่าน Command Line ส่งผลให้มีการติดตั้งมัลแวร์ลงในอุปกรณ์ของเหยื่อในที่สุด
ทีม Threat Intelligence ของ Microsoft รายงานเมื่อเดือนกุมภาพันธ์ที่ผ่านมาว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือชื่อ 'Kimsuky' ได้ใช้เทคนิคนี้ด้วยเช่นกัน โดยใช้หน้าเว็บปลอมที่หลอกว่าเป็นหน้าเว็บ “ลงทะเบียนอุปกรณ์”
รายงานฉบับใหม่จาก Proofpoint เปิดเผยว่า ระหว่างช่วงปลายปี 2024 ถึงต้นปี 2025 Kimsuky (เกาหลีเหนือ), MuddyWater (อิหร่าน), รวมถึง APT28 และ UNK_RemoteRogue (รัสเซีย) ต่างก็ได้นำเทคนิค ClickFix ไปใช้ในการปฏิบัติการโจมตีแบบกำหนดเป้าหมาย
ClickFix กับปฏิบัติการด้านข่าวกรอง
เริ่มต้นจาก Kimsuky การโจมตีถูกตรวจพบในช่วงเดือนมกราคมถึงกุมภาพันธ์ 2025 โดยมีเป้าหมายเป็นหน่วยงานวิจัยนโยบายที่เน้นประเด็นที่เกี่ยวข้องกับเกาหลีเหนือ
แฮ็กเกอร์จากเกาหลีเหนือใช้อีเมลปลอมที่เขียนเป็นภาษาเกาหลี, ญี่ปุ่น หรืออังกฤษ โดยทำให้ดูเหมือนว่าผู้ส่งเป็นนักการทูตญี่ปุ่น เพื่อสร้างความน่าเชื่อถือ และเริ่มต้นการติดต่อกับเหยื่อ
หลังจากสร้างความไว้ใจกับเหยื่อได้แล้ว ผู้โจมตีจะส่งไฟล์ PDF ที่เป็นอันตรายซึ่งมีลิงก์ไปยังเว็บไซต์เก็บไฟล์ปลอมที่ดูเหมือนเป็นบริการที่ปลอดภัย โดยจะหลอกให้เหยื่อทำการ "ลงทะเบียน" ด้วยการคัดลอกคำสั่ง PowerShell ไปวางในเทอร์มินัลด้วยตนเอง
เมื่อเหยื่อดำเนินการตามนั้น ระบบจะดึงสคริปต์ตัวที่สองมาทำงาน ซึ่งมีหน้าที่ตั้ง Scheduled Tasks เพื่อให้มัลแวร์แฝงตัวอยู่ในระบบ และดาวน์โหลด QuasarRAT มาติดตั้ง พร้อมกับเปิดไฟล์ PDF หลอกให้เหยื่อดูเพื่อเบี่ยงเบนความสนใจจากการดำเนินการเบื้องหลัง
ส่วนการโจมตีของ MuddyWater เกิดขึ้นในช่วงกลางเดือนพฤศจิกายน 2024 โดยมีเป้าหมายเป็นองค์กรจำนวน 39 แห่งในตะวันออกกลาง โดยใช้อีเมลปลอมที่เลียนแบบการแจ้งเตือนด้านความปลอดภัยของ Microsoft
ในอีเมลได้แจ้งผู้รับว่า จำเป็นต้องติดตั้งอัปเดตด้านความปลอดภัยที่สำคัญ โดยให้รัน PowerShell ในโหมดผู้ดูแลระบบบนเครื่องของตนเอง ซึ่งนำไปสู่การติดตั้งมัลแวร์ด้วยตนเอง ส่งผลให้เครื่องของเหยื่อถูกติดตั้งเครื่องมือ 'Level' ซึ่งเป็นเครื่องมือ Remote Monitoring and Management (RMM) ที่สามารถนำไปใช้ในปฏิบัติการจารกรรมได้อย่างมีประสิทธิภาพ
กรณีที่สามเกี่ยวข้องกับกลุ่มภัยคุกคามจากรัสเซียชื่อ UNK_RemoteRogue ซึ่งได้โจมตีองค์กรสองแห่งที่มีความเกี่ยวข้องใกล้ชิดกับผู้ผลิตอาวุธรายใหญ่ในเดือนธันวาคม 2024
อีเมลอันตรายถูกส่งมาจากเซิร์ฟเวอร์ Zimbra ที่ถูกเจาะระบบ และปลอมแปลงให้ดูเหมือนว่าเป็นอีเมลจาก Microsoft Office โดยเมื่อเหยื่อคลิกลิงก์ที่แนบมา จะถูกพาไปยังหน้า Microsoft Word ปลอม พร้อมคำแนะนำเป็นภาษารัสเซีย และวิดีโอสอนจาก YouTube
เมื่อเหยื่อรันโค้ดตามคำแนะนำ ระบบจะทำงานผ่าน JavaScript ซึ่งเรียกใช้งาน PowerShell เพื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ที่รัน Empire command and control (C2) framework
Proofpoint รายงานว่า APT28 ซึ่งเป็นหน่วยงานของ GRU ก็ได้ใช้เทคนิค ClickFix ตั้งแต่เดือนตุลาคม 2024 โดยใช้อีเมลฟิชชิ่งที่ปลอมเป็น Google Spreadsheet พร้อมกับขั้นตอน reCAPTCHA และคำแนะนำการดำเนินการ PowerShell ที่ส่งผ่านหน้าต่างป๊อปอัป
เหยื่อที่รันคำสั่งเหล่านั้นโดยไม่รู้ตัวจะเป็นผู้ตั้งค่า SSH tunnel และเปิดใช้งาน Metasploit ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบของเหยื่อผ่าน backdoor ได้
ClickFix ยังคงเป็นวิธีการที่มีประสิทธิภาพ โดยเห็นได้จากการที่กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่มนำไปใช้ ส่วนหนึ่งเป็นเพราะการขาดความตระหนักรู้เกี่ยวกับความเสี่ยงของการรันคำสั่งที่ไม่ได้ตั้งใจ
โดยหลักทั่วไป ผู้ใช้ไม่ควรรันคำสั่งที่ตนเองไม่เข้าใจ หรือคัดลอกมาจากช่องทางออนไลน์ โดยเฉพาะอย่างยิ่งเมื่อรันด้วยสิทธิ์ของผู้ดูแลระบบ
ที่มา : bleepingcomputer
You must be logged in to post a comment.