Анализ ClickFix-инцидента в цифровом сервисе
Компания обратилась в Singleton Security после подозрительной активности в менеджере паролей и несанкционированных операций во внешнем финансовом сервисе. Нужно было понять, как злоумышленники получили доступ к рабочему ноутбуку сотрудника, учётным данным и кодам 2FA.
Команда проанализировала образ ноутбука и восстановила цепочку взлома: пользователь регулярно заходил на сайт для проверки BIN-кодов банковских карт, но к моменту инцидента этот хост уже контролировался злоумышленниками. Через поддельную проверку в стиле Cloudflare/CAPTCHA пользователя убедили вручную запустить команду через Win+R — так сработал ClickFix-сценарий.
Интерес инцидента в том, что пользователь станции в момент атаки на ней не работал: злоумышленники использовали валидную доменную учётную запись администратора и несколько раз заходили по RDP с внутренних узлов. Затем были запущены C:\PerfLogs\Run\zhost.exe, шифровальщик C:\ProgramData\HAWK.tmp, после отключения Defender — C:\Users\admin\Documents\zhost.exe. Через несколько минут были очищены журналы System, Security, Application и история PowerShell.
Дополнительно был исследован HAWK. tmp: PE32 ransomware семейства Cortex, использующий задержку исполнения и самоудаление для усложнения анализа.
Заказчик получил точную цепочку атаки:
RDP-доступ под валидной доменной учетной записью → запуск вредоносных файлов → отключение Defender → запуск Cortex Ransomware → очистка логов.
RDP-доступ под валидной доменной учетной записью → запуск вредоносных файлов → отключение Defender → запуск Cortex Ransomware → очистка логов.
По итогам были выданы срочные меры: закрыть лишний RDP-доступ, сменить и перепроверить административные учетные записи, включить MFA, развернуть EDR, централизованно хранить логи в SIEM и проверить резервное копирование.
