Chiến dịch lừa đảo mới sử dụng kỹ thuật ClickFix để triển khai Havoc (C2)

Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam

Chiến dịch lừa đảo mới sử dụng kỹ thuật ClickFix để triển khai Havoc (C2)

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch lừa đảo mới sử dụng kỹ thuật ClickFix để triển khai một khung điều khiển và chỉ huy (C2) mã nguồn mở có tên là Havoc Fortinet FortiGuard Labs cho biết trong một báo cáo kỹ thuật rằng tác nhân đe…

IT-PRO

Tháng Ba 11, 2025

2–3 phút

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch lừa đảo mới sử dụng kỹ thuật ClickFix để triển khai một khung điều khiển và chỉ huy (C2) mã nguồn mở có tên là Havoc

Fortinet FortiGuard Labs cho biết trong một báo cáo kỹ thuật rằng tác nhân đe dọa ẩn giấu từng giai đoạn phần mềm độc hại đằng sau một trang web SharePoint và sử dụng một phiên bản sửa đổi của Havoc Demon kết hợp với Microsoft Graph API để che giấu các giao tiếp C2 bên trong các dịch vụ đáng tin cậy và nổi tiếng

Điểm khởi đầu của cuộc tấn công là một email lừa đảo chứa một tệp đính kèm HTML (“Documents.html”). Khi mở tệp này, nó hiển thị một thông báo lỗi và sử dụng kỹ thuật ClickFix để lừa người dùng sao chép và thực thi một lệnh PowerShell độc hại vào terminal hoặc PowerShell của họ, từ đó kích hoạt giai đoạn tiếp theo

Mồi nhử ClickFix trong chiến dịch mới được phát hiện thông báo cho người dùng rằng có lỗi khi kết nối với Microsoft OneDrive và họ cần khắc phục sự cố bằng cách cập nhật bộ nhớ cache DNS thủ công. Nếu người dùng mắc bẫy, họ vô tình kích hoạt quy trình lây nhiễm bằng cách chạy tập lệnh PowerShell

Lệnh này được thiết kế để tải xuống và thực thi một tập lệnh PowerShell được lưu trữ trên một máy chủ SharePoint do đối thủ kiểm soát. Tập lệnh PowerShell mới tải xuống sẽ kiểm tra xem nó có đang chạy trong môi trường sandbox hay không trước khi tiến hành tải xuống trình thông dịch Python (“pythonw.exe”) nếu nó chưa có trong hệ thống

Bước tiếp theo bao gồm việc lấy và thực thi một tập lệnh Python từ cùng vị trí SharePoint, tập lệnh này đóng vai trò là trình tải shellcode cho KaynLdr, một trình tải phản xạ được viết bằng C và ASM có khả năng khởi chạy một DLL được nhúng, trong trường hợp này là tác nhân Havoc Demon trên máy chủ bị nhiễm

Fortinet cho biết thêm rằng tác nhân đe dọa sử dụng Havoc kết hợp với Microsoft Graph API để che giấu giao tiếp C2 bên trong các dịch vụ nổi tiếng. Họ cũng nói rằng khung này hỗ trợ các tính năng để thu thập thông tin, thực hiện các hoạt động tệp, cũng như thực hiện lệnh và tải trọng, thao tác token và các cuộc tấn công Kerberos.