One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8664262 |
| Date de publication | 2025-04-17 10:31:17 (vue: 2025-04-18 01:07:19) |
| Titre | Autour du monde en 90 jours: les acteurs parrainés par l'État essaient Clickfix Around the World in 90 Days: State-Sponsored Actors Try ClickFix |
| Texte | Conclusions clés Alors que principalement une technique affiliée à des acteurs cybercrimins, les chercheurs de ProofPoint ont découvert des acteurs parrainés par l'État dans plusieurs campagnes en utilisant la technique d'ingénierie sociale ClickFix pour la première fois. Sur seulement une période de trois mois de la fin de 2024 au début de 2025, des groupes de Corée du Nord, d'Iran et de Russie ont tous été vus en utilisant la technique Clickfix dans leur activité de routine. L'incorporation de ClickFix ne révolutionne pas les campagnes réalisées par TA427, TA450, UNK_Remooterogue et TA422 mais remplace plutôt les étapes d'installation et d'exécution dans les chaînes d'infection existantes. Bien que actuellement limité à quelques groupes parrainés par l'État, la popularité croissante du fixe de clics dans la cybercriminalité au cours de la dernière année ainsi que dans les campagnes d'espionnage au cours des derniers mois suggère que la technique sera probablement plus testée ou adoptée par des acteurs parrainés par l'État. Aperçu Une tendance majeure dans le paysage des menaces est la fluidité des tactiques, des techniques et des procédures (TTPS). Les acteurs de menace partagent, copiernt, voler, adopter et tester les TTP de la métier exposée publiquement ou l'interaction avec d'autres groupes de menaces. Plus précisément, les acteurs parrainés par l'État ont souvent mis à profit les techniques développées et déployées pour la première fois par des acteurs cybercriminaux. Par exemple, les acteurs de la menace nord-coréenne copiant les techniques de la cybercriminalité pour voler la crypto-monnaie au nom du gouvernement, ou des groupes chinois imitant les chaînes d'infection de cybercriminalité pour livrer des logiciels malveillants dans les opérations d'espionnage. L'exemple le plus récent de cette tendance est Clickfix. ClickFix est une technique d'ingénierie sociale qui utilise des boîtes de dialogue avec des instructions pour copier, coller et exécuter des commandes malveillantes sur la machine Target \\. Cette technique créative utilise non seulement de faux messages d'erreur comme problème, mais aussi une alerte faisant autorité et des instructions provenant du système d'exploitation en tant que solution. Principalement observé dans l'activité de la cybercriminalité, la technique Clickfix a été vue pour la première fois début mars 2024 déployé par le courtier d'accès initial TA571 et le cluster Clearfake, après quoi il a inondé le paysage des menaces. Un an plus tard, au moins quatre acteurs de menaces parrainés par l'État ont depuis expérimenté des variations de cette technique dans le cadre de leurs campagnes d'espionnage habituées. Sur environ trois mois d'octobre 2024 à janvier 2025, les acteurs de la menace provenant de trois pays distincts (Corée du Nord, Iran et Russie) ont incorporé Clickfix comme étape de leurs chaînes d'infection. Corée du Nord: TA427 En janvier et février 2025, ProofPoint a d'abord observé les opérateurs TA427 ciblant les individus dans moins de cinq organisations dans le secteur des ateliers avec une nouvelle chaîne d'infection en utilisant la technique ClickFix. Ta427 chevauche avec des tiers de l'activité appelée kimsuky ou grésil émeraude. TA427 a établi un contact initial avec l'objectif grâce à une demande de réunion d'un expéditeur usurpé livré aux cibles traditionnelles TA427 travaillant sur les affaires nord-coréennes. Après une brève conversation pour engager la cible et renforcer la confiance, comme on le voit souvent dans l'activité TA427, les attaquants ont dirigé la cible vers un site contrôlé par l'attaquant où ils ont convaincu la cible d'exécuter une commande PowerShell. Bien qu'une chaîne n'ait pas réussi à récupérer d'autres charges utiles, une autre instance de cette campagne comprenait une chaîne à plusieurs étages qui a exécuté PowerShell, VBS et les scripts par lots, ce qui a finalement conduit à une charge utile finale - Quasarrat |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | $c; $c=get $env:temp /demo 06816634fb019b6ed276d36f414f3b36f99b845ddd1015c2b84a34e0b8d7f083 07a45c7a436258aa81ed2e770a233350784f5b05538da8a1d51d03c55d9c0875 0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd 111 115 118 121 123 144 157 161 172 179 180 184 18ee1393fc2b2c1d56d4d8f94efad583841cdf8766adb95d7f37299692d60d7d 194 197 197 2024 2024 20240324001883765674 20240324001883765675 2024 2025 2025 2025 2061585 2061586 2061587 2061588 2061589 2061590 2061591 2061592 2061593 2061594 210 213 221 228 230 231 231 250 2HG6739jhngdf7892w0p93U4YYH5G 365 3z5ty 75 76fr3 78aa2335d3e656256c50f1f2c544b32713790857998068a5fa6dec1fb89aa411 7zc56 85db55aab78103f7c2d536ce79e923c5fd9af14a2683f8bf290993828bddeb50 86 8a8c57eedca1bd03308198a87cae7977d3c385f240c5c62ac7c602126a1a312f 94 9g87h Document Internet Link Office RSVP/FIN The absence abuse abused access account accounts across action activity actor actors additional address address administrator adobe adopt adopted affairs affiliated after albania alert align all allow along also although ambassador among analysis another appearance appeared april apt28 arabia are aren arms around arrange asia asking associated atera attached attachment attacker attackers attempted attempting attempts attributes attribution authentication authoritative available base64 based batch bat because become been before began beginning behalf below below: benign bfb11abb82ab4c788156df862a5cf4fa085f1ac3203df7a46251373d55cc587c body both box boxes breakdown brief broader broker browser build business but button byproduct c2 c2 cadence call called came campaign campaigns can carried case cases ccs=cin cert certain certificate chain chains china chinese cho claimed claiming clearfake clicked clickfix clipboard cloud cluster code com com com/ com/docs/en/ com/docs/en/alert com/docs/en/register com/docs/en/src/pdf com/docs/en/src/resp com/docs/en/t coming command commands commodity communicated communication companies compromise compromise compromised com concentrator conclusion conduct connect connection connections consistent consistently conspicuous contact contain contained containing content continue continued control controlled convenient conversation convince convinced copy copying countries create created creates creative criminal cryptocurrency currently customized cyber cybercrime cybercriminal data date days days: ddns december decode decoded decoy defence defense deliver delivered delivery delivery delivery deployed description description description desktop developed developing device dialogue did different diplomat directed directorate discovered display displayed displaying distinct distributed dns dob document document=2hg6739jhngdf7892w0p93u4yh5g documents document domain domain domains domaintools domain dong dos dotted download downloaded drive drives dropper due dynamic e410ffadb3f5b6ca82cece8bce4fb378a43c507e3ba127ef669dbb84e3c73e61 each earlier early east ebata21@proton edit either email email emails emb embassy emerald emphasis empire employs emulate encoded end engage engagement engineering english enter entities error espionage established eu eunsoolim29@gmail eventually every example examples exception exchange excluded execute executed executes execution exfiltrate exist existing experimented experimenting exposed f9536b1d798bee3af85b9700684b41da67ff9fed79aae018a47af085f75c9e3e facilitate failed fake features february fetches fewer fields file filename filename files fin final finance findings first five flooded fluidity follow followed following foothold foreign forged found four framework freedns freedrive from further future given global google government governments graphic group groups had has hashes have header heatmap hidden high highlighted highly historically host hosted hosting hosts how however html hxxps://bit hxxps://office hxxps://raedom hxxps://securedrive hypothesized hy |
| Tags | Malware Tool Vulnerability Threat Prediction Cloud |
| Stories | APT 28 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.