11,6 тыс подписчиков

Глобальные шпионские кампании: тактика ClickFix от госхакеров

24 апреля 202524 апр 2025

2 мин

Хакеры из северокорейских, иранских и российских государственных групп начали применять инновационную технологию социальной инженерии под названием ClickFix для проведения глобальных кампаний по шпионажу. Данный метод, ранее используемый киберпреступниками, находит все более широкое применение в арсенале злоумышленников. ClickFix включает в себя использование вводящих в заблуждение диалоговых окон с поддельными сообщениями об ошибках. Эти окна заставляют пользователей выполнять вредоносные команды PowerShell на своих устройствах, что позволяет злоумышленникам обходить традиционные средства защиты. Основные способы манипуляции пользователями через ClickFix: Впервые выявленный в начале 2024 года, метод ClickFix заметно расширил свое использование среди различных APT-групп. В частности, киберпреступники начали использовать этот инструмент для: Примечательные примеры использования ClickFix: Цепочка атак ClickFix состоит из нескольких этапов: Использование ClickFix подчеркивает растущую ада

Оглавление

Принцип действия ClickFix
Расширение применения ClickFix
Практические примеры атак

Хакеры из северокорейских, иранских и российских государственных групп начали применять инновационную технологию социальной инженерии под названием ClickFix для проведения глобальных кампаний по шпионажу. Данный метод, ранее используемый киберпреступниками, находит все более широкое применение в арсенале злоумышленников.

Принцип действия ClickFix

ClickFix включает в себя использование вводящих в заблуждение диалоговых окон с поддельными сообщениями об ошибках. Эти окна заставляют пользователей выполнять вредоносные команды PowerShell на своих устройствах, что позволяет злоумышленникам обходить традиционные средства защиты.

Основные способы манипуляции пользователями через ClickFix:

Представление сфабрикованных проблем, таких как невозможность открыть документы или необходимость в критическом обновлении системы безопасности.
Предложение решений, требующих копирования и вставки команд в PowerShell или диалоговое окно запуска Windows.

Расширение применения ClickFix

Впервые выявленный в начале 2024 года, метод ClickFix заметно расширил свое использование среди различных APT-групп. В частности, киберпреступники начали использовать этот инструмент для:

Распространения вредоносных программ, таких как AsyncRAT и Danabot.
Шпионажа против аналитических центров с использованием фишинговых писем.
Создания подделок обновлений безопасности, замаскированных под законные сообщения от Microsoft.

Практические примеры атак

Примечательные примеры использования ClickFix:

Kimsuky (северокорейская группа) использовала ClickFix для атак на аналитические центры, отправляя фишинговые электронные письма со ссылками на вредоносные PDF-файлы.
MuddyWater (иранская группа) атаковала органы на Ближнем Востоке, внедряя вредоносное ПО под видом обновлений безопасности.
UNK_RemoteRogue (российский хакер) подделывал письма Microsoft Office, вводя пользователей в заблуждение.
APT28 имитировала Google Sheets для обеспечения постоянного доступа к системам через SSH-туннель.

Стратегия и эффективность ClickFix

Цепочка атак ClickFix состоит из нескольких этапов:

Первоначальный доступ через фишинг.
Обман пользователя с помощью поддельных сообщений об ошибках.
Выполнение команд PowerShell и доставка вредоносных программ под видом доброкачественных файлов.

Использование ClickFix подчеркивает растущую адаптивность киберугроз, поскольку злоумышленники совершенствуют свои методы в ответ на изменения в системах безопасности. Сила ClickFix заключается в психологической манипуляции, что делает эти атаки особенно опасными для пользователей и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Глобальные шпионские кампании: тактика ClickFix от госхакеров".