کمیته رکن چهارم – در ماههای اخیر، چند گروه هکری وابسته به حکومتهای ایران، کره شمالی و روسیه، از ترفندی به نام ClickFix برای اجرای حملات سایبری هدفمند و استقرار بدافزار استفاده کردهاند؛ روشی که پیشتر بیشتر در میان مجرمان سایبری دیده میشد، اما اکنون در سطح فعالیتهای دولتی نیز بهکار گرفته شده است.
به گزارش کمیته رکن چهارم، ClickFix یک تکنیک فریبنده مبتنی بر مهندسی اجتماعی است که کاربر را با پیامهایی جعلی تشویق میکند تا خودش دستورات مخرب را در سیستم وارد و اجرا کند. این پیامها اغلب با بهانههایی مانند حل مشکل فنی، ثبتنام یا عبور از CAPTCHA طراحی میشوند، در حالی که در واقع کاربران را به اجرای کدهای مخرب سوق میدهند.
در این حملات، چند گروه از سه کشور اصلی شناسایی شدهاند:
-
کره شمالی (TA427) با ارسال دعوتنامههایی جعلی با ظاهر دیپلماتیک، قربانیان را به اجرای دستوراتی در PowerShell هدایت کرده که در نهایت به نصب بدافزار جاسوسی Quasar RAT منجر شده است.
-
جمهوری اسلامی ایران (TA450) با سوءاستفاده از زمان انتشار بهروزرسانیهای امنیتی مایکروسافت، ایمیلهایی با ظاهر رسمی ارسال کرده و کاربران را به اجرای دستوراتی برای نصب ابزارهای کنترل از راه دور مانند Level واداشته است. اهداف این حملات شامل سازمانهایی در خاورمیانه، اروپا و آمریکای شمالی بودهاند.
-
روسیه (UNK_RemoteRogue) با استفاده از سرورهای آلوده، لینکهایی حاوی اسناد Word و آموزشهای ویدیویی برای اجرای دستوراتی طراحی کرده که کدهای جاسوسی مبتنی بر چارچوب Empire C2 را اجرا میکنند.
بر اساس تحلیل شرکت امنیتی Proofpoint، همزمانی استفاده از این روش در چند کشور مختلف، نشاندهندهی رشد سریع و محبوبیت ClickFix در میان بازیگران سایبری دولتی است. اگرچه این تکنیک دائماً استفاده نمیشود، اما انتظار میرود گروههای بیشتری در حال آزمایش و بهرهبرداری از آن باشند.
