サイバー犯罪者はClickFix攻撃と10年前のオープンソースPython SOCKS5プロキシであるPySoxyを組み合わせ、マルウェアなしで被害者のマシン上に永続性を確保しており、削除試行後でも機能を維持しています。
このキャンペーンはReliaQuestのサイバーセキュリティ研究者によって詳細が明らかにされており、ClickFix攻撃が単一の実行から段階的なエクスプロイト後へと進化し、攻撃の特定と封じ込めがより困難になっていることを警告しています。
ClickFixは、ユーザーを欺いて悪意のあるコマンドを無意識に実行させたり、有害なペイロードを自分のマシンにダウンロードさせるソーシャルエンジニアリング戦術です。マルウェア配布やログイン認証情報の窃取の方法として広く使用されるようになっています。
ReliaQuestは5月12日のブログで、調査したClickFix攻撃が特筆すべき点は、攻撃者がClickFixで獲得した初期アクセスをブロックしても、必ずしも侵入を阻止できなかったことだと述べています。代わりに、プロキシツールはローカルの永続性メカニズムを備えており、スケジュールされたタスクを通じてアクティビティが再起動し続けることを可能にしていました。
継続的なアクセスのための意図的な準備
攻撃者はPySoxyの導入に慎重で、初期のClickFix侵害の直後には起動されていませんでした。
代わりに、侵入者は環境について情報を収集し、潜在的なフォローオンターゲットを特定し、ホストが攻撃者が管理するステージングインフラストラクチャと通信できることを確認するために時間をかけました。その後でのみPySoxyが攻撃の一部として導入されました。
「この順序が重要なのは、単なる一時的な偵察ではなく、継続的なアクセスのための意図的な準備を示しているためです」と、ReliaQuestのシニアサイバー脅威インテリジェンスオフィサーアナリストであるIvan Righiは述べています。
プロキシが攻撃者が操作するコントロールサーバーへの接続を正常に確立した後にのみ、最終的なペイロードが導入されました。
研究者はPowerShellやPythonスクリプトを経由してこれを試みる攻撃者を観察しており、同時に単にリモートアクセストロイの木馬(RAT)をドロップしようとしました。
両方のチャネルはエンドポイント制御によってブロックされましたが、永続性メカニズムは重要な役割を果たしました。なぜなら、それが繰り返される再実行試行を可能にしたからです。
「対応チームにとって、これは永続性と二次的ツール機能を含むClickFix インシデントは、ホスト隔離、完全なアーティファクトレビュー、およびすべてのアクセスパスとステージングコンポーネントが削除されたことの検証を伴う能動的な侵害調査として扱われるべきことを意味します」とRighiは述べています。
検出をバイパスした可能性がある同様のClickFix攻撃に対抗するために、ReliaQuestはセキュリティチームがスケジュールされたタスクを確認し、Pythonアーティファクトを分析し、ブロックされたC2接続を封じ込めとして扱うのではなく、プロキシスタイルのPythonコマンドラインを検索することを推奨しています。
今月初め、オーストラリア サイバーセキュリティセンター(ACSC)は、インフラストラクチャプロバイダーおよび他の組織にマルウェアを配布する試みでClickFixを使用する広範なキャンペーンに関する警告を発行しました。
翻訳元: https://www.infosecurity-magazine.com/news/clickfix-combined-pysoxy-proxying/
