ClickFix感染の新たな波が確認されました。攻撃者はソーシャルエンジニアリングを駆使し、「Potemkin」と呼ばれるカスタムマルウェアローダーを被害者の環境に送り込んでいます。
2026年5月に発生した一連の侵害では、11台のネットワークホストが標的となりました。脅威アクターは最新のセキュリティ制御を回避し、RMMProjectリモートアクセス型トロイの木馬(RAT)と、ブロックチェーンを活用したバックドア「EtherRAT」を展開しました。
攻撃は監視が行き届いていないエンドポイントを起点とし、被害者がWindowsの「ファイル名を指定して実行」ダイアログに悪意あるコマンドをコピー・実行するよう誘導されることで始まります。
このコマンドは正規のシステムバイナリを悪用するもので、具体的にはpcalua.exeを踏み台として実行をプロキシし、MSIパッケージをひそかにダウンロードします。
このソーシャルエンジニアリング手法が依然として高い効果を持つ理由は、正規のトラブルシューティング操作を巧みに模倣している点にあります。
実行されると、インストーラーはPotemkinローダーを展開します。これは足がかりを確立するために設計された、カスタム仕様の64ビットWindowsマルウェアです。Potemkinはハードコードされたコマンド&コントロール(C2)サーバーアドレスを持たないため、防御側が単純なブロックで対処することができません。
代わりに、内蔵された1,000語の辞書を利用した決定論的なドメイン生成アルゴリズム(DGA)を採用しています。このアルゴリズムは最大10,000件の候補ドメインを生成し、稼働中のC2サーバーが応答するまで順番に探索していきます。
Potemkinの主な機能は、C2からの追加モジュールを取得し、それをシステムメモリに直接リフレクティブロードすることです。これにより、従来のファイルベースの検知機構を効果的に回避します。
Potemkinが配布する主要モジュールはRMMProjectで、4.4MBという大容量のLuaスクリプト対応RATです。15種類の異なるタスク機能を備えています。
このマルウェアは認証情報の窃取に特化しており、Google ChromeのApp-Bound Encryption(ABE)を回避する高度な手法も実装されています。
さらにRMMProjectは、隠しデスクトップモジュールを備えており、被害者のブラウザセッションをリアルタイムかつインタラクティブに操作することが可能です。この操作は画面上に一切の痕跡を残しません。Huntressが報告しています。
RMMProjectに加え、脅威アクターはEtherRATも展開しました。これは「EtherHiding」による回避機能を持つNode.jsバックドアです。
静的なC2アドレスを保持するのではなく、EtherRATはEthereumスマートコントラクトから動的にアクティブなC2インフラを取得する仕組みになっています。
永続的なアクセスを確保するため、攻撃者は偽装したCloudflareトンネルを構築し、内部サービスをインターネットに公開しました。
侵入後、攻撃者は複数のPowerShellスクリプトとレジストリの上書きを駆使してWindows Defenderを強制的に無効化しようと、激しい攻防を繰り広げました。
セキュリティ制御の無力化に成功すると、攻撃者はWMIExecとSMBExecを利用して感染を横方向に拡大し、最終的にはドメインコントローラーを侵害。検知されるまでに合計11台のホストへの感染を完遂しました。
翻訳元: https://cyberpress.org/potemkin-loader-deploys-rat/