קבוצת ההאקרים Interlock מתחזה לכלי IT כדי לחדור לארגונים
באמצעות שימוש בטכניקת ClickFix, הקבוצה חודרת לארגונים במטרה לסחוט אותם ולאיים שיפיצו את המידע שנגנב
תמונה: dreamstime
אם חשבתם שמספיק לסגור את הדלתות כדי לשמור על הארגון שלכם, כנראה ששכחתם מהחלון. קבוצת ההאקרים Interlock החלה להשתמש בטכניקת ClickFix: שיטת הונאה מתוחכמת שמתחזה לכלים נפוצים של צוותי IT, כדי לחדור למערכות הארגון ולהצפין את הקבצים מבפנים. מדובר במתקפת הנדסה חברתית שבה העובדים מתבקשים "לתקן בעיה" או "לאמת את זהותם"' לכאורה על ידי הרצת פקודת PowerShell במחשב שלהם. בפועל, הפעולה מתקינה נוזקה שמבצעת ריגול, שולטת על המערכת ובסופו של דבר גם מבקשת מכם כופר כדי לקבל חזרה את הגישה למידע שלכם.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
לפי דיווח של חוקרי חברת Sekoia, קבוצת Interlock החלה להשתמש במתקפות ClickFix בינואר האחרון. במקום הודעת עדכון תמימה לדפדפן או ל-VPN, המשתמשים נחשפים לאתר מזויף שנראה כמו ממשק של Microsoft Teams או Advanced IP Scanner, כלי מוכר לסריקת רשתות. בלחיצה על כפתור "Fix it", פקודה זדונית מועתקת אוטומטית ל-Clipboard של המשתמש. אם תורץ, היא תוריד קובץ PyInstaller שמתקין במקביל עותק של התוכנה המזויפת וסקריפט PowerShell שמופעל בחלון מוסתר.
תוכנה לגיטימית – ומעקב ברקע
מאחורי הקלעים, הסקריפט דואג לקבע את עצמו בהפעלה האוטומטית של Windows ומשם מתחיל לאסוף מידע כמו גרסת מערכת ההפעלה, רמת ההרשאות והתהליכים שרצים – ושולח את כל זה היישר לתוקפים. החוקרים הצליחו לזהות שליטה מלאה מצד התוקפים: מהתקנת נוזקות כמו LummaStealer ו-BerserkStealer, ועד הפעלה של סוס טרויאני בשם Interlock RAT.
ה-Interlock RAT תומך בהרצת פקודות PowerShell, העלאת קבצים, הפעלת קבצי DLL וניטור מלא של המערכת, מה שמעניק לתוקפים שליטה מלאה מרחוק. במקרים שתועדו, הם ניצלו את השליטה כדי להשתמש ב-RDP, LogMeIn, AnyDesk ו-PuTTY לשם תנועה רוחבית במערכות הארגון.
ולבסוף מבקשים גם כסף
לאחר שהשיגו שליטה על מערכות הארגון ושלפו קבצים רגישים אל אחסון Azure שבשליטתם, הקבוצה מתחילה להפעיל את אלמנט התשלום: כופרה מתוזמנת שרצה מדי ערב. לטענת החוקרים, מנגנון הסינון מבוסס הסיומות של הקבצים מונע הצפנה כפולה, אך שומר על פעולת גיבוי יומית.
ClickFix היא שיטה שמאומצת בימים אלו על ידי יותר ויותר קבוצות תקיפה, כולל האקרים מצפון קוריאה. רק לאחרונה דווח כי קבוצת Lazarus תקפה כך מחפשי עבודה בתחום הקריפטו. הקורבן מבצע את הפקודה בעצמו וכל זה בלי לחשוד אפילו לרגע.
