Vélhetően az ázsiai térséghez köthető Lazarus APT csoport ismét új támadási módszert vezetett be: a ClickFix elnevezésű social engineering technikát. Ennek alkalmazásával a csoport módszerei még kifinomultabbá váltak és világszerte újabb veszélyt jelentenek az érzékeny hírszerzési adatokra.
A Lazarus csoport
A Lazarus APT csoport 2007 óta aktív, viszont a 2014-es Sony Pictures elleni pusztító kibertámadással vált világhírűvé. Kezdetben kormányzati szervek elleni kémkedésre specializálódott, ám 2014 után a célpontjainak köre kiterjedt a pénzintézetekre, kriptovaluta tőzsdékre és különböző jelentős szervezetekre is. A csoportot módszere az, hogy hamis álláshirdetéseket és közösségi média profilokat hoz létre, melyek révén célzott adathalász kampányokat indít.
A ClickFix módszer
A ClickFix egy modern social engineering alapú támadási vektor, amely során a támadó kitalált (hamis) technikai hibák megjelenítésével veszi rá az áldozatot a káros kód futtatására. A megtévesztett felhasználó azt hiszi, hogy rendszerproblémát javít, valójában azonban rosszindulatú kódot telepít.
A Lazarus ezt a taktikát integrálta meglévő adathalász műveleteibe. A támadási lánc a következőképpen zajlik:
- Csali: az áldozat vonzónak tűnő, ám valójában hamis állásajánlatot kap, amely a támadók által felügyelt weboldalra irányítja őt.
- Megtévesztés: a szimulált interjúfolyamat során a rosszindulatú webhely figyelmezteti a felhasználót, hogy a kamera konfigurációja nem megfelelő vagy hibásan működik.
- Hamis problémamegoldás: a webhely ezután egy olyan “megoldást” kínál, amely legitim Nvidia szoftverfrissítésnek tűnik, de valójában kártevőt telepít.
Technikai részletek
A Qi’anxin elemzése szerint a támadási lánc a ClickFix-1[.]bat fájllal kezdődik, amely egy rosszinulatú ZIP csomagot tölt le a driverservices[.]store domainről. A csomag több komponenst tartalmaz:
- run[.]vbs – rendszerfelmérés, OS-verzió és Node[.]js ellenőrzés
- main[.]js – a BeaverTail adatlopó kártevő
- drvUpdate[.]exe – Windows 11 rendszereket célzó backdoor
- shell[.]bat és kiegészítő scriptfájlok
A Windows rendszeren a backdoor teljes körű irányítást biztosít (parancsvégrehajtás, fájlmanipuláció, rendszerinformációk). A macOS rendszeren azonos módszertanú, de arm64-fixer csomagoknak álcázott változatokat használnak.
A BeaverTail rosszindulatú program elsődlegesen hírszerzési adatokat gyűjt, majd letölti az InvisibleFerret nevű Python-trójait, amely perzisztenciát alakít ki registry módosításokkal és ütemezett feladatokkal. Az irányítási infrastruktúra többek között a 45.159.248.110 és 103.231.75.101:8888 szervereken keresztül működik.
A kiberbiztonsági kutatók a minták alapján a támadásokat a Lazarus csoportnak tulajdonítják, a korábban dokumentált kampányokkal való hasonlóságok és a rosszindulatú programcsaládok, köztük a BeaverTail és az InvisibleFerret telepítése alapján.
Védekezési javaslatok
Az ilyen típusú támadások ellen kizárólag többrétegű védelem nyújthat hatékony megoldást. A szakértők a következő intézkedéseket javasolják:
- A felhasználók folyamatos oktatása a social engineering technikák felismerésének érdekében.
- Az e-mail és webes forgalom biztonsági szűrése, különösen az online interjúk vagy a toborzási folyamatok során.
- Végpontvédelmi rendszerek bevezetése és naprakészen tartása.
- Többfaktoros authentikáció.
- Biztonságtudatossági képzések.
- Incidenskezelési folyamatok megtervezése.
- Fenyegetettségi hírcsatornák követése, az új Lazarus taktikák és támadási minták azonosítása érdekében.
A Lazarus APT csoport folyamatosan fejleszti eszköztárát, és a ClickFix technika bevezetése újabb figyelmeztetés a szervezetek számára: a social engineering és a kifinomult technika kombinációja komoly kockázatot jelent mind kormányzati, mind pedig vállalati környezetben. A védekezés kulcsa a proaktív kiberbiztonsági gyakorlatok és a tudatos felhasználói magatartás.
