СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

ClickFix использует самоэксплуатацию для распространения MIMICRAT

Исследователи Elastic Security Labs выявили новую волну атак, в которой злоумышленники из кампании ClickFix применяют метод самоэксплуатации для доставки троянской программы удалённого доступа MIMICRAT. Атака реализуется через компрометированные легитимные веб‑сайты и основывается на побуждении жертв выполнять команды на собственных устройствах, что минимизирует прямое взаимодействие злоумышленников с скомпрометированными системами.

Как работает атака

По сути, схема предполагает упаковку вредоносной логики в сценарий PowerShell и связанный с ним загрузчик, размещённые на легитимных, но скомпрометированных ресурсах. Жертве предлагается выполнить ряд действий (например, запуск PowerShell-команд), в результате чего на систему загружаются дополнительные компоненты и устанавливается связь с C2.

Ключевые технические особенности:

  • использование PowerShell для первоначальной загрузки и развертывания;
  • применение загрузчика на Lua для дальнейшей установки модулей;
  • наличие маяка (beacon) MIMICRAT для поддержания связи с командным сервером (C2).

Ключевые IOCs

В отчёте перечислены конкретные индикаторы компрометации (IOCs), полезные для обнаружения и реагирования:

  • SHA-256 (начальная полезная нагрузка PowerShell): bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1
  • SHA-256 (загрузчик Lua): 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51
  • SHA-256 (маяк MIMICRAT): a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b
  • Домены, задействованные в доставке и C2: msservice.network, plugins-manager.network
  • Неправильно сконфигурированные домены: mispolishal.com (сертификат был неправильно связан с avprog.cc)
  • Примеры директорий, замеченных на компрометированных ресурсах: /cmd, /update
  • IP‑адрес C2, выявленный в расследовании: 23.227.202.114 (на сервере отображается страница с надписью):

CryptoBet Arena

Технические детали инфраструктуры

Аналитики отметили несколько важных моментов инфраструктуры кампании:

  • на домене msservice.network обнаружен сценарий PowerShell, который пытается загрузить файл MSI в каталог Windows ProgramData, однако сам файл не удалось извлечь во время анализа;
  • выявлены неправильно настроенные сертификаты и перекрёстные привязки доменов (пример: mispolishal.com выдал сертификат, предназначенный для avprog.cc), что может указывать как на ошибки в инфраструктуре злоумышленников, так и на попытки маскировки; такие конфигурации могут быть использованы для обнаружения и отслеживания активности;
  • директории вроде /cmd и /update на компрометированных хостах содержали сценарии и артефакты, потенциально связанные с более широкой инициативой ClickFix.

Рекомендации по снижению рисков

На основании полученных данных эксперты рекомендуют предпринять следующие шаги для защиты организаций:

  • повысить осведомлённость сотрудников о методах фишинга и проводить регулярные тренировочные кампании, ориентированные на реальную тактику ClickFix;
  • внедрить сетевую сегментацию и строгие политики контроля доступа, чтобы ограничить распространение потенциальной компрометации внутри сети;
  • обеспечить своевременное применение обновлений и патчей на серверах и конечных устройствах;
  • включить мониторинг и блокировку известных доменов/IP-адресов и хэшей (см. раздел IOCs), интегрировать эти индикаторы в системы IDS/IPS и SIEM;
  • внедрить EDR/NGAV-решения и механизмы Application Whitelisting, ограничить возможность исполнения произвольных PowerShell‑скриптов и установку MSI из ненадёжных источников;
  • проводить активный threat hunting по выявленным индикаторам и анализировать подозрительные обращения к доменам вроде msservice.network, plugins-manager.network и IP 23.227.202.114.

Вывод

Кампания ClickFix демонстрирует устойчивую эволюцию тактик злоумышленников: использование самоэксплуатации снижает потребность в прямых манипуляциях и увеличивает вероятность успешной компрометации через социальную инженерию. В условиях такой динамики критично сочетать образовательные меры для персонала с техническими контролями на уровне сети и конечных точек. Наблюдение за IOCs и быстрая реакция на выявленные артефакты остаются ключевыми элементами эффективной защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: