3min Security

Sandworm zet ClickFix in tegen Oekraïense organisaties

Sandworm zet ClickFix in tegen Oekraïense organisaties

De Russische statelijke hackgroep Sandworm gebruikt inmiddels de ClickFix-aanvalstechniek om organisaties in Oekraïne te besmetten met malware. Daarmee verschuift een methode die vooral populair was onder financieel gemotiveerde cybercriminelen naar het arsenaal van een van de meest geavanceerde door de staat gesteunde aanvallers.

Het Oekraïense nationale Computer Emergency Response Team (CERT-UA) meldt dat de campagne sinds het voorjaar actief is. Daarbij werden volgens Ars Technica ten minste tien gecompromitteerde websites gebruikt om bezoekers een vervalste CAPTCHA voor te schotelen. Slachtoffers kregen de instructie een PowerShell-opdracht te kopiëren en uit te voeren om te bewijzen dat zij geen robot waren. In werkelijkheid startten zij daarmee zelf de infectieketen.

ClickFix is het afgelopen jaar uitgegroeid tot een veelgebruikte social-engineeringtechniek. In plaats van een kwetsbaarheid in software uit te buiten, misleidt de aanval gebruikers om zelf een kwaadaardig script uit te voeren. Daardoor worden veel traditionele beveiligingsmaatregelen omzeild, omdat de gebruiker de opdracht bewust uitvoert.

Dat de techniek nu ook wordt ingezet door Sandworm is opvallend. De hackgroep, die wordt gelinkt aan de Russische militaire inlichtingendienst GRU, staat bekend om geavanceerde cyberaanvallen op Oekraïne en andere strategische doelwitten.

Volgens CERT-UA leidde de campagne al tot de compromittering van ten minste één organisatie. Op een geïnfecteerd systeem troffen onderzoekers FreakyPoll aan, een door Sandworm ontwikkelde Python-backdoor.

De infectie verloopt in meerdere stappen. Nadat een slachtoffer het PowerShell-commando heeft uitgevoerd, wordt eerst een verkenningsscript gestart dat informatie verzamelt over het systeem. Daarbij worden onder meer gegevens over de configuratie van de computer, geïnstalleerde software, bestanden en browserdata doorgestuurd. Alleen wanneer een doelwit interessant genoeg blijkt, volgt een tweede fase waarin aanvullende malware wordt geïnstalleerd om langdurige toegang tot het systeem te verkrijgen.

Eigen malware en verborgen infrastructuur

Naast FreakyPoll zet Sandworm volgens CERT-UA ook andere malware in, waaronder GHETTOVIBE, SCOUTCURL, FluidLeech en LoadLoop. SCOUTCURL voert de eerste inventarisatie van een systeem uit, terwijl FluidLeech zich voordoet als antivirussoftware om minder argwaan te wekken.

Onderzoekers ontdekten bovendien dat de aanvallers hun infrastructuur verder hebben geavanceerd. Behalve de bekende Cloaking.House-dienst gebruiken zij eigen software, SMARTAXE, om de inhoud van gecompromitteerde websites dynamisch aan te passen. Zo kan afhankelijk van de bezoeker een valse CAPTCHA worden getoond, terwijl de locatie van de kwaadaardige inhoud via een blockchain-smartcontract wordt opgehaald. Daardoor wordt het lastiger om de infrastructuur achter de aanval te identificeren en te blokkeren.

Ook Android-apparaten doelwit

CERT-UA beschrijft daarnaast een Android-campagne die wordt gevolgd onder de naam CowardDuck. Daarbij worden slachtoffers verleid een kwaadaardige app te installeren. De malware verzamelt vervolgens bestanden van het toestel en stuurt deze door naar servers van de aanvallers.

Sandworm gebruikte eerder andere verspreidingsmethoden, zoals besmette versies van illegale software die via torrentsites werden aangeboden. Ook zijn campagnes bekend waarbij slachtoffers na langdurig contact via Signal werden overtuigd software te installeren die zich voordeed als een beveiligingsprogramma.

ClickFix ontwikkelt zich verder

De inzet van ClickFix door Sandworm onderstreept dat de techniek zich ontwikkelt van een aanvalsmethode die vooral door cybercriminelen werd gebruikt tot een instrument voor statelijke cyberoperaties. Voor organisaties betekent dat dat niet alleen technische beveiliging, maar ook bewustwording onder medewerkers belangrijker wordt.

CERT-UA adviseert beheerders daarom websites regelmatig te controleren op webshells, ongeautoriseerde uitbreidingen en andere aanwijzingen van compromittering. Daarnaast blijft het belangrijk gebruikers erop te wijzen dat legitieme websites nooit vragen om PowerShell-, Terminal- of andere opdrachtregelcommando’s uit te voeren als onderdeel van een CAPTCHA of verificatieprocedure.