加密勒索組織Interlock正利用ClickFix技術存取受害者的基礎設施,而且目標是IT專家,以假CAPTCHAs偽裝Advanced IP Scanner網頁上的Cloudflare防護的網站,目標可能是某些組織感興趣機構的IT人員。
使用ClickFix散播惡意程式
Interlock攻擊者以假Advanced IP Scanner網址引誘受害者前往網站,研究人員發現有多個相同網頁託管在網路上不同位置,在用戶點擊連結後,他們會看到好像由Cloudflare提供的訊息要求完CAPTCHAs,訊要聲稱Cloudflare協助公司重取他們技術的控制,這句看似合法的市場營銷字句其實複製自Cloudflare,然後是按Win + R、Ctrl + V然後按Enter的指示,再下一步是Fix it和Retry兩個按鍵。最後一段訊息聲稱受害者嘗試存取的資源需要核實連線安全。
事實上,當受害者點擊Fix it時,惡意PowerShell指令複製到剪貼薄,用戶在不知情的情況下以Win + R打開指令,以Ctrl + V貼上指令,按Enter執行惡意指令,執行指令會下載和啟動36-megabyte假PyInstaller安裝工具檔案,而為了分散受害者注意力,會在瀏覽器視窗打開真的Advanced IP Scanner網站。
從收集資料到勒索
當假安裝工具被執行,PowerShell腳本裝啟動並收集系統資料,再傳送至C&C伺服器,伺服器方可以傳送ooff指令去終止腳本或發送額外的惡意程式,在這個案中攻擊者使用Interlock RAT(remote access trojan)作為內容,惡意程式會被儲存在一起AppData%資料夾並自動執行,使攻擊者能存取機密資料並長期停留在系統。
在初次存取後,Interlock的操作員試圖使用之前盜竊或外洩的憑證和Remote Desktop Protocol作橫向移動,他們的主要目標是domain controller,藉此攻擊者能在基礎設施內散播惡意程式。在發動加密勒索程式前的最後一步是盜竊受害機構的有價值資料,這些檔案會被上載到被攻擊者控制的Azure Blob Storage,在提取這些敏感資料後,Interlock會把它發佈到一個新的Tor網域,組織的.onion網站上的新貼文會提供連結到該網域。
防範ClickFix
ClickFix和其他類似的技術極度倚賴社交工程,所以最佳的防護是有系統到提供員工的資安意識,透過自動化的資案意識平台可為員工提供相關培訓,此外,應對加密勒索攻擊我們建議:
- 在所有公司裝置安裝可靠的防護
- 以XDR級方案監察公司網絡內的可疑活動
- 如果缺乏內部保安資源或專家,可以用第三方服務進行搜獵和應對。
資料來源:Kaspersky Blog
