قصص من SOC – Clickfix والبرد ، الآن

خلفية

أصبح ClickFix سريعًا تكتيكًا للهندسة الاجتماعية المتفشي. لوحظ لأول مرة في أكتوبر 2023 ، يهدف إلى خداع المستخدمين في لصق أوامر في مربع الحوار Run تحت ستار التحقق من اتصال المستخدم وصاحبته إلى المجال. نظرًا لسهولة الاستخدام وقدرتها على تجاوز تدابير الأمن التقنية ، فإن اعتماد ClickFix ينمو بمعدل ينذر بالخطر. ^[1]

ملخص تنفيذي

بدأ هذا التحقيق بعد ملاحظة أحد المستخدمين في التنقل إلى موقع ويب شرعي دفع المستخدم بمطالبة Captcha المزيفة. بمجرد تنفيذ تعليمات موجه Captcha المزيفة ، أدى أمر حليقة إلى مجال ضار إلى البرامج النصية الخبيثة وتنزيلات الملفات على أصل المستخدم. بعد ذلك ، لوحظ ممثل التهديد وهو يقوم بإجراء استطلاع مستوى المجال من جهاز المستخدم قبل أن يتم القبض عليه وإغلاقه من قبل فريق LevelBlue MDR SOC. ارتبط ممثل التهديد هذا بمجموعة Interlock Ransomware ، مع مؤشرات التسوية التي تم تحديدها من قبل Exchange LevelBlue Open Threat Exchange (OTX) وغيرها من مصادر الاستخبارات المفتوحة المصدر (OSI) مثل Sekoia.

تم ملاحظة مجموعة Interlock Ransomware لأول مرة في سبتمبر 2024. على عكس معظم مجموعات الفدية التي شوهدت اليوم والتي تستخدم نماذج Ransomware كخدمة (RAAS) ، كانت هذه مجموعة مستقلة. لقد اكتسبوا سمعة سيئة في أكتوبر 2024 عندما ادعوا مسؤوليتها عن حادثة مركز العلوم الصحية بجامعة تكساس تك التي تعرض لخطر بيانات حوالي 1.5 مليون مريض.

في يناير 2025 ، لاحظ الباحثون في Sekoia Interlock توسيع تكتيكاتهم والاستفادة من تقنية الهندسة الاجتماعية المعروفة الآن باسم ClickFix. ^[2]

تحقيق

لاحظ فريق Level Blue MDR إنذارات على نفس نقطة النهاية من Sentinel One التي دفعت إلى مزيد من التحقيق. أثناء التحقيق ، كشف المحللون لدينا تكتيكات وتقنيات وإجراءات الجهات الفاعلة للتهديدات (TTPs) ومؤشرات تحديد التسوية (IOCs) المرتبطة بمجموعة الفدية المتشابكة. بسبب الإجراء السريع لفريق LevelBlue MDR ، تم احتواء الهجوم ، وتم إضافة تجزئة من التحقيق إلى قائمة الكتلة داخل Sentinelone. انقر هنا لقراءة المدونة الكاملة وتعلم الوجبات السريعة من التحقيق في LevelBlue ، بما في ذلك توصيات لمنع هذه الهجمات من التأثير على مؤسستك.

[1] https://www.group-ib.com/blog/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims

[2] https://blog.sekoia.io/interlock-ransomware-volving-under-the-radar

المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.