ReliaQuestは、攻撃者がClickFixをPySoxyプロキシツールと組み合わせて、侵害されたシステムに冗長な暗号化アクセスパスと永続性を確立していることを観察しました。
ClickFixは、被害者をシステムの技術的問題の修正に偽装した悪意あるワークフローの実行に騙す一度限りのソーシャルエンジニアリング技術ですが、永続性のアップグレードを受けました。
一度限りの事例では、ReliaQuestの研究者がスケジュール済みタスク、PowerShellベースのコマンド&コントロール(C2)、および10年以上前のオープンソースプロキシツールPySoxyの独特の悪用を使用した侵入チェーンを発見しました。
研究者がブログ記事で指摘したように、PySoxyは既知のマルウェアやリモートモニタリング&管理(RMM)ツールに依存せずに、攻撃者に暗号化されたプロキシアクセスを提供します。観察された攻撃チェーンは、最初にPowerShellベースのC2チャネルを確立し、その後PySoxyを通じて2番目のC2パスを確立しました。
キャンペーンは4月に観察されました。ReliaQuestは、アクティブな侵入でClickFixとPySoxyが組み合わせられているのを目撃したのは初めてだと述べました。
デュアルチャネル永続性に使用されるPySoxy
攻撃はClickFixの誘いで始まり、被害者をシステムの技術的問題の修正に偽装した悪意あるコマンドの手動貼り付けと実行に騙しました。起動されると、コマンドは多段階の感染チェーンを開始しました。
ReliaQuestによると、実行フローはスケジュール済みタスクを通じて永続性を確立し、ドメイン偵察を実行し、攻撃者に戻る初期のPowerShellベースのC2チャネルを開きました。チェーンはその後PyProxyをデプロイして、感染したエンドポイントをプロキシリレーに変える2番目の暗号化通信パスを作成しました。
「偵察出力をローカルにステージングし、攻撃者が管理する別のインフラにアップロードした後、攻撃者はPythonツールをC:\ProgramDataにダウンロードしました」と研究者は述べています。「コンパイルされたバイトコードファイルはPythonで実行され、PySoxyとして識別されました。これにより、侵入がPowerShellが主導するアクセスチェーンから冗長なアクセスパスを持つものに変わりました。」
研究者は、PySoxyを通じてプロキシされる2番目のフットホールドの使用により、PowerShell C2接続がブロックされた後でも侵入を続行できることに注目しました。
ClickFixはエクスプロイテーション後に漂流する
ReliaQuestは、ClickFixはもはやソーシャルエンジニアリング配信メカニズムではないことを示す証拠を指摘しました。ステルス、永続性、および信頼されたツールの悪用を含むより広いエクスプロイテーション後操作への入り口として、ますます使用されています。
今年の初め、サイバーセキュリティテクノロジー企業は報告したように、ClickFixは2025年後半と2026年初頭に観察された事件と防御回避活動の大部分を占めており、攻撃者は難読化されたコマンドと隠れた実行チェーンに依存していました。
PySoxyの使用は、ClickFixがモジュラーアクセス技術を持つ古い正当なツールへのシフトをマークしています。チェーン内で複数の通信パスをオーケストレーションすることで、攻撃者は防御者に封じ込め努力を拡大するよう強制しています。
「今後、ClickFixオペレータはPowerShell以上のエクスプロイテーション後ツールの実験を続けることを期待しています」と研究者は述べています。「Pythonは1つのオプションですが、従来のペイロードをドロップせずにプロキシまたはC2機能をステージするために利用可能なスクリプティングランタイムを使用するという根底的なロジックは、他のインタプリタにも同様に適用されます。」
狩りのヒントにはスケジュール済みタスクとPythonアーティファクトが含まれます
ReliaQuestが観察したチェーンでは、スケジュール済みタスクは通信試行が失敗した後、悪意あるアクティビティを繰り返し再起動しました。ReliaQuestは、防御者は異常なPython関連のアーティファクトおよびプロキシスタイルのコマンドラインアクティビティと並んで、定期的にスケジュール済みタスク作成を具体的に調査する必要があると述べました。
インシデント対応者への推奨事項には、影響を受けたホストを分離すること、疑わしい再実行パターンについてスケジュール済みタスクを確認すること、およびブロックされたC2トラフィックに特に焦点を当てるのではなく、Pythonプロセスで暗号化されたプロキシ動作を狩ることが含まれていました。
「-ssl、-remote_ip、-remote_port、SOCKS、または.pyc実行などの組み合わせを含むコマンドラインを狩ってください」と研究者は述べており、これらはPySoxyスタイルアクティビティの高価値シグナルであると付け加えました。
翻訳元: https://www.csoonline.com/article/4170747/clickfix-finds-a-backup-plan-in-pysoxy-proxy-chains.html
