2026年5月に発生した巧妙なClickFixソーシャルエンジニアリングキャンペーンは、11台のホストに及ぶ本格的なキーボード操作型侵害を引き起こし、Potemkinローダー・RMMProject RAT・EtherRATという3種類の新たな悪意あるツールを展開しました。
攻撃の起点は、ユーザーが侵害されたウェブサイトを訪問し、Base64エンコードされたPowerShellコマンドをWin+Rダイアログに貼り付けたことでした。
このコマンドはLOLBINであるpcalua.exeを悪用してmshta.exeの実行をプロキシし、リモートのHTAペイロードを取得した上で、Potemkinローダーを含むMSIパッケージをサイレントインストールしました。
Potemkinはカスタム設計のx64 Windowsローダーであり、シード値151678を用いた決定論的ドメイン生成アルゴリズム(DGA)によって候補ドメインを1万件生成し、コマンド&コントロール(C2)サーバーを発見するまで順次探索します。
このローダーはリフレクティブローディングを使用してメモリ上でのみ後続モジュールを実行し、主要ペイロードをディスクに書き込まない設計になっています。
Potemkin経由で配信されたモジュールはRMMProjectであり、4.4MBのLuaスクリプト対応DLLとして広範な侵害後(ポストエクスプロイテーション)機能を備えています。
Huntressの研究者は、この多段階攻撃が監視されていないエンドポイントから始まったことを記録しています。被害者はWindowsの「ファイル名を指定して実行」ダイアログを通じて悪意あるコマンドを実行するよう誘導されました。
このRATはブラウザの認証情報窃取機能を備えており、埋め込みDLLインジェクションによるChromeのApp-Bound Encryption(ABE)の高度な回避手法も実装しています。また、被害者には見えない隠しデスクトップを利用したリモート制御モジュール(RTSC)のほか、パスワード窃取(タスク1001)・Cookie窃取(タスク1002)・オートフィルデータ抽出(タスク1013)を含む15種類のタスクタイプを持ちます。
ClickFix攻撃によるPotemkinローダーの展開
RTSCモジュールは隠しWindowsデスクトップを作成し、攻撃者が被害者には見えない認証済みブラウザセッション上で操作を行えるようにします。この機能は銀行詐欺においても広く悪用されています。
文字列ごとにdata_op・key_op・開始キーバイト値がコンパイル時にそれぞれの構造体に埋め込まれており、同一の暗号コードを通過するにもかかわらず、文字列ごとに固有の復号レシピが適用されます。
RMMProjectはLuaJITスクリプトエンジンを内部に組み込んでおり、HTTPクライアント操作・SQLiteデータベースアクセス・Windowsレジストリ操作・NSS証明書形式のASN.1デコードに対応したネイティブモジュールを備えています。
攻撃者は別途EtherRATも展開しました。これはEtherHidingによる回避手法を用いてEthereumブロックチェーンからC2アドレスを解決する、既知のNode.jsバックドアです。
このRATはスマートコントラクト0xb3f2897f2bc797e5b9033faef8c81e92b01cb831からC2情報を読み取り、Tenderly・Flashbots・MEV Blockerを含む7つのパブリックEthereum RPCプロバイダーに対してeth_callリクエストを発行します。
このブロックチェーンベースのC2解決方式により、オペレーターは単一のトランザクションでボットネットの接続先を更新でき、感染した全ホストが次回のポーリング時に変更を反映します。
足がかりを確立した攻撃者は継続的なキーボード操作による活動を展開し、Windows Defenderを無効化しながらラテラルムーブメントのためにChiselリバースSOCKSトンネルを展開しました。
攻撃者はWMIExecおよびSMBExecを用いてネットワーク内を横断し、最終的にドメインコントローラーに到達してEtherRATを11台以上のホストに展開しました。
永続化はユーザーごとのRunキーHKCU\Software\Microsoft\Windows\CurrentVersion\Runに、無害に見える値名WindowsHostを登録することで維持されており、コンソールウィンドウを抑制するためにconhost --headless経由でNode.jsが実行されます。
ClickFix攻撃が依然として有効なのは、人間の本質を突いているためです。「Win+Rを押して、これを貼り付けてEnterを押す」といった権威ある指示のように見える操作を、ユーザーは疑わずに実行してしまいます。
今回のケースは、エンドポイントカバレッジの重要性を改めて示しています。最初の感染は監視されていないエンドポイントから発生しており、ラテラルムーブメントが始まる前に攻撃者は妨害されることなく足がかりを確立していました。
セキュリティ専門家は、グループポリシーによる「ファイル名を指定して実行」の無効化、未承認のリモート管理ツールのブロック、そして堅実なセキュリティ啓発トレーニングの実施を推奨しています。
このキャンペーンはソーシャルエンジニアリングを通じて教育・金融セクターを標的とし、DLLサイドローディングとメモリ内実行を組み合わせたPowerShellコマンドによって検出回避を図っています。
侵害の痕跡(IoC)
| インジケーター | 説明 |
|---|---|
| RunSearch.exe SHA256: 2abe5dd3a057fdef935722e50e9251c272d29fd26113187b853a1f9a9cb89d9b | Potemkinローダー |
| avast_update.bin SHA256: 3b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ce | RMMProject |
| ABE helper DLL SHA256: cd4e5e2c65b1660470d3446539ee68adf5faeece3eaeb46583623be9911ee145 | RMMProject内部に埋め込まれたDLL。Chrome/EdgeのIElevator COMインターフェース経由でApp-Bound EncryptionのCookieキーを復号するため、生成されたChrome/Edgeプロセスにインジェクションされます。 |
| inst24.msi SHA256: 79f7b67ce8b39070f3e1c2b90fce0ce84134782a7dedcccc1edac197ee9e089b | Potemkinローダーをドロップするインストーラー |
| cons_1.0.1.msi SHA256: 2ada24dd6e517f37942b749c2bd57ddd97445e9853002cee70a0bc30d0b0ce3a | EtherRATを配信 |
| 77.110.122[.]58 | プライマリC2 / ステージング |
| 213.165.41[.]26 | ChiselリバースSOCKSサーバー |
| C:\Windows\Temp\D0OK1nWwId9W.ps1 | 最初に投下された悪意あるPS(内容は未回収) |
| C:\Windows\Temp\lQhEQui9a4lZ.exe | Chiselクライアント |
| C:\ProgramData\p\O67tak2KFRmJ.ps1 | メモリ内リフレクティブローダー |
| C:\ProgramData\p\J6Gupb9TpYNI.ps1 | Chiselクライアントをダウンロードするスクリプト |
| C:\ProgramData\p\fsjH6IHuUkhh.ps1 | AMSIバイパス + Defenderレジストリポリシー無効化 + リフレクティブChiselロード |
| C:\ProgramData\p\ek_full.ps1 | レジストリベースのDefender無効化スクリプト |
| C:\ProgramData\p\ek_kill_av.ps1 | Defenderの強制終了:レジストリポリシー・Set-MpPreferenceトグル・WinDefend/wscsvc/SecurityHealthServiceの直接サービス停止 |
| C:\ProgramData\p\ek_disable_av.ps1 | Defender無効化スクリプト |
| C:\ProgramData\p\yH88LG8yCOnU.ps1 | リバースシェル:77.110.122[.]58:43301へのTCP接続をループし、隠しpowershell.exeプロセスにブリッジ。接続が切断されると30秒ごとに再接続します。 |
| 0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 | Ethereumコントラクト |
| 0x40b57c3622c1CbfD699207F71F2dE5A8Fe256893 | ストレージキー |
| ab653feb-9e78-4578-87ed-2e30329fe858 | EtherRATビルドID |
| sonra.eutialyson[.]com | MSIダウンロードドメイン |
| cl.distritovagas[.]com | ClickFix HTAドメイン |
| anus-staylard[.]xyz | PotemkinおよびRMMProjectのC2ドメイン |
| resumeacceptable[.]com | ブロックチェーンから解決されるEtherRAT C2 |
| %LOCALAPPDATA%\hyper-v.ver | Potemkin UUIDファイル |
| %TEMP%\dll_debug.log | Potemkinデバッグログ |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP・VirusTotal・SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファングして使用してください。
翻訳元: https://gbhackers.com/clickfix-attack-deploys-potemkin-loader/
