새로운 ClickFix 공격이 nslookup을 악용해 DNS를 통해 PowerShell 페이로드를 가져옵니다
Source: Bleeping Computer
DNS 쿼리를 통해 악성 PowerShell 스크립트 전달
Microsoft에서 관찰된 새로운 ClickFix 캠페인에서, 피해자들은 시스템의 기본 DNS 서버 대신 공격자가 제어하는 DNS 서버에 질의하도록 nslookup 명령을 실행하라는 지시를 받습니다. 이 명령은 악성 PowerShell 스크립트를 포함한 응답을 반환하고, 해당 스크립트가 장치에서 실행되어 악성코드를 설치합니다.
“Microsoft Defender 연구원들은 공격자들이 ClickFix 기법을 회피하기 위해 또 다른 방식을 사용하고 있음을 관찰했습니다: 대상에게 커스텀 DNS 조회를 수행하고 Name: 응답을 파싱하여 다음 단계 페이로드를 받아 실행하도록 명령하는 것입니다.” — Microsoft Threat Intelligence (X post).
ClickFix DNS 기반 전달 방법에 대한 일러스트.
유인 문구는 일반적으로 사용자가 Windows 실행 대화 상자에 명령을 입력하도록 안내합니다. 해당 명령은 호스트 이름 example.com에 대해 위협 행위자의 DNS 서버 84.21.189.20에 DNS 조회를 수행하고, 반환된 응답을 cmd.exe를 통해 실행합니다.
DNS 응답에는 두 번째 PowerShell 페이로드가 포함된 NAME: 필드가 포함되어 있으며, 이는 장치에서 실행됩니다.
두 번째 PowerShell 명령을 실행하기 위한 DNS 쿼리 응답 – Source: Microsoft
악성 DNS 서버는 현재 더 이상 사용 가능하지 않지만, Microsoft는 두 번째 단계 PowerShell 명령이 공격자가 제어하는 인프라에서 추가 악성코드를 다운로드했다고 보고했습니다. 이 공격의 최종 결과는 다음과 같습니다:
- Python 런타임 실행 파일과 정찰용 악성 스크립트를 포함한 ZIP 아카이브를 다운로드합니다.
%APPDATA%\WPy64-31401\python\script.vbs와%STARTUP%\MonitoringService.lnk바로가기를 생성하여 시작 시 VBScript가 실행되도록 함으로써 지속성을 확보합니다.- ModeloRAT이라는 원격 액세스 트로이목을 배포하여 공격자가 손상된 시스템을 원격으로 제어할 수 있게 합니다.
일반적인 ClickFix 공격이 HTTP를 통해 페이로드를 가져오는 것과 달리, 이 기법은 DNS를 통신 및 스테이징 채널로 사용하여 공격자가 정상 DNS 트래픽에 섞이면서 페이로드를 실시간으로 수정할 수 있게 합니다.
ClickFix 공격이 빠르게 진화하고 있음
ClickFix 공격은 지난 1년 동안 빠르게 진화했으며, 위협 행위자들은 여러 운영 체제에 걸쳐 새로운 전달 전술과 페이로드 유형을 실험하고 있습니다.
이전 ClickFix 캠페인은 사용자를 설득해 PowerShell 또는 셸 명령을 직접 실행하도록 유도했습니다. 최근 캠페인에서는 전통적인 웹 기반 페이로드 전달을 넘어선 방식이 확대되었습니다:
- ConsentFix – Azure CLI OAuth 앱을 악용해 비밀번호 없이 Microsoft 계정을 탈취하고 MFA를 우회합니다.
- 위협 행위자들은 공유 ChatGPT, Grok, Claude Artifact 페이지를 활용해 ClickFix 공격에 대한 가짜 가이드를 홍보하고 있습니다.
- Pastebin 댓글을 통해 홍보되는 새로운 ClickFix 공격은 암호화폐 사용자를 속여 브라우저에서 악성 JavaScript를 실행하게 하여, 악성코드를 배포하는 대신 웹 애플리케이션 기능을 탈취합니다.
이러한 발전은 ClickFix 공격에 사용되는 벡터가 다양해지고 있음을 보여주며, 거래를 탈취하기 위해 브라우저에서 JavaScript를 실행하려는 최초의 시도도 포함됩니다.
IT 인프라의 미래가 여기 있습니다
