Hackers Use ClickFix Trick to Deploy PowerShell-Based Havoc C2 via SharePoint Sites
- 공격 개요
- ClickFix 기법을 이용하여 Havoc C2 프레임워크 배포
- Microsoft SharePoint 사이트를 악용하여 PowerShell 기반 악성코드 유포
- Microsoft Graph API를 사용해 C2(명령제어) 트래픽을 은폐하여 탐지 회피
- 공격 흐름
- 1단계: 피싱 이메일 유포
- 첨부된 HTML 파일("Documents.html") 실행 시 오류 메시지 표시
- 사용자가 PowerShell 명령을 직접 실행하도록 유도하는 ClickFix 기법 사용
- 2단계: PowerShell 악성 스크립트 실행
- 공격자가 제어하는 SharePoint 서버에서 추가 PowerShell 스크립트 다운로드 및 실행
- 샌드박스 탐지 우회 후 시스템에 Python 실행 파일("pythonw.exe") 설치
- 3단계: Havoc C2 배포
- 추가 Python 스크립트를 다운로드하여 KaynLdr 로더 실행
- KaynLdr가 Havoc Demon 에이전트를 로드하여 악성 활동 수행
- 1단계: 피싱 이메일 유포
- Havoc C2의 기능 및 활용 기법
- C2 트래픽 은폐: Microsoft Graph API를 활용하여 정상 서비스처럼 위장
- 정보 수집 및 조작: 파일 작업, 명령 실행, 페이로드 배포, Kerberos 공격 수행 가능
- 토큰 조작: 사용자 권한 상승 및 세션 유지 가능
- 관련 보안 위협
- Google Ads 악용
- PayPal 고객을 노린 사기 광고 운영
- 광고 클릭 시 가짜 고객센터 번호 제공하여 금융정보 탈취
- Google 광고 정책의 허점
- 광고의 랜딩 페이지(URL)와 디스플레이 URL이 일치하면 합법적인 사이트처럼 위장 가능
- Google Ads 악용
- 보안 권고
- PowerShell 로깅 및 제한 모드(Constrained Language Mode) 적용
- Microsoft Graph API 트래픽 모니터링 및 의심스러운 API 호출 감지
- SharePoint 및 OneDrive 트래픽에 대한 보안 점검 강화
- Google Ads 광고 클릭 전 공식 사이트 직접 방문하여 검증
- 결론
- ClickFix 기법과 Havoc C2를 결합한 고도화된 피싱 공격 증가
- Microsoft의 정식 서비스(SharePoint, Graph API)를 악용하여 탐지 회피
- 기업 및 기관은 PowerShell 보안 정책 강화 및 클라우드 API 감시 필수
- Google 광고 시스템의 취약점을 이용한 사기 행위 지속적 발생, 사용자 경각심 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Qilin 랜섬웨어 그룹, Lee Enterprises 사이버 공격 주장 (0) | 2025.03.23 |
|---|---|
| AWS 설정 오류를 악용한 해커의 SES 및 WorkMail 기반 피싱 공격 (0) | 2025.03.23 |
| PowerShell 및 Microsoft 정식 애플리케이션을 이용한 파일리스 공격 증가 (0) | 2025.03.23 |
| Google 및 PayPal 인프라 악용한 피싱 공격으로 사용자 개인정보 탈취 (0) | 2025.03.23 |
| Trigon, 최신 iOS 커널 익스플로잇 분석 (0) | 2025.03.23 |