Proofpoint: door overheid gesponsorde actoren gebruiken ClickFix

Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom social engineeringstecniek ClickFix. Uit de laatste bevindingen blijkt dat de overheid actoren sponsort bij het inzetten van deze aanvalsmethode.

Een toenemende ontwikkeling in het dreigingslandschap is het aanpasbare vermogen van tactieken, technieken en procedures (TTP’s). Dreigingsactoren delen, kopiëren, stelen, veranderen en testen TTP’s van openbaar gemaakte vakkennis of van interacties met andere kwaadwillende groepen. Onderzoekers van het cybersecuritybedrijf zien in hun meest recente bevindingen dat dreigingsactoren door de overheid worden gesponsord. Hierbij maken ze gebruik van technieken die cybercriminelen hebben ontwikkeld.

Het meest recente voorbeeld van deze ontwikkeling is ClickFix. Deze social engineeringstechniek gebruikt dialoogvensters met instructies om opdrachten op de computer van het doelwit te kopiëren, plakken en uitvoeren. Een creatieve manier die niet alleen valse errorberichten verstuurt, maar ook officiële waarschuwingen en instructies die het besturingssysteem zogenaamd als oplossing aanbiedt misbruikt.

De nieuwe inzichten van Proofpoint tonen aan dat groepen uit Noord-Korea (TA457), Iran (TA450) en Rusland (UNK_RemoteRogue en TA422) ClickFix gebruikten gedurende een periode van drie maanden, van eind 2024 tot begin 2025.

De onderzoekers vermoeden dat, door de toenemende populariteit van ClickFix, meer door de overheid gesponsorde actoren deze social engineeringtechniek gebruiken. De recente bevindingen onderstrepen de evoluerende TTP’s in het huidige dreigingslandschap. Steeds meer gesponsorde actoren gebruiken aanvalstechnieken die eerder door cybercriminelen zijn ontwikkeld.

ClickFix is meerdere keren waargenomen, maar geen enkele actor gebruikte de methode herhaaldelijk. Het is onduidelijk waarom er steeds maar één observatie is per ClickFixcampagne, terwijl de uitvoering van andere aanvalspogingen vaak tegelijkertijd plaatsvinden.

Recente waarnemingen tonen ook aan dat dreigingsactor Emerald Sleet (TA427) in april teruggreep naar ClickFix. De onderzoekers zien hierbij een verandering in de infectieketen van de dreigingsactor. Dit zou kunnen betekenen dat TA427 ClickFix verder aan het ontwikkelen is.

ClickFix is geen techniek die vaak wordt gebruikt. Toch is het waarschijnlijk dat meer dreigingsactoren uit Noord-Korea, Iran en Rusland deze social engineeringtechniek hebben uitgeprobeerd en getest, of dat zij dit in de nabije toekomst gaan doen. ClickFix wordt door veel verschillende landen gebruikt, maar de onderzoeksresultaten laten opvallend genoeg niets zien over China. Het grote aantal campagnes doet vermoeden dat het toch is het zeer waarschijnlijk dat ook een groep die banden heeft met China, heeft geëxperimenteerd met ClickFix.

Lees hier het volledige onderzoek.

Lees hier het volledige onderzoek.