わずか1日間続いたスピアフィッシング攻撃が、ウクライナの地方政府行政のメンバーや、国際赤十字委員会、ユニセフ、さまざまなNGOなど、ウクライナの戦争救援活動に重要な組織を標的としました。
PhantomCaptchaと名付けられたこの1日限りのキャンペーンは、CloudflareのCAPTCHA認証画面を装い、ClickFix攻撃で使われるコマンドを実行させることで、WebSocketリモートアクセス型トロイの木馬(RAT)をインストールさせようと被害者を騙しました。
SentinelOneの脅威調査部門であるSentinelLABSによると、このキャンペーンは10月8日に開始・終了し、攻撃者は必要なインフラ構築にかなりの時間と労力を費やしており、作戦で使われた一部のドメインは3月末に登録されていたとのことです。
「私はロボットではありません」ClickFix攻撃
攻撃は、ウクライナ大統領府を装ったメールから始まり、悪意のあるPDFファイルが添付されており、Zoom(zoomconference[.]app)コミュニケーションプラットフォームを装ったドメインへのリンクが含まれていました。
出典: SentinelLabs
偽のZoom会議リンクをクリックすると、訪問者はコミュニケーションプラットフォームにリダイレクトされる前に、自動化されたブラウザチェックのプロセスを目にします。
この段階で、クライアント識別子が生成され、WebSocket接続を通じて攻撃者のサーバーに送信されます。
出典: SentinelLabs
「もしWebSocketサーバーが一致する識別子で応答した場合、被害者のブラウザは正規のパスワード保護されたZoomミーティングにリダイレクトされます」とSentinelLABSの分析は示しています。
研究者によると、このルートは脅威アクターが被害者とライブでソーシャルエンジニアリングの電話を行うことにつながった可能性が高いとのことです。
クライアントIDが一致しない場合、訪問者は別のセキュリティチェックを通過し、自分がロボットではなく実在の人間であることを証明する必要がありました。
ウクライナ語で「トークン」をコピーしてWindowsのコマンドプロンプトに貼り付けるよう促す指示に従うことで、偽のCAPTCHA認証を完了できました。
.jpg)
出典: SentinelLabs
このコピー&ペースト操作によって、PowerShellコマンドが実行され、2段階目のペイロードである偵察およびシステムプロファイラ用ユーティリティを配信する悪意あるスクリプト(cptch)がダウンロード・実行されます。
このツールは、コンピュータ名、ドメイン情報、ユーザー名、プロセスID、システムUUIDなどのシステムデータを収集し、コマンド&コントロール(C2)サーバーに送信します。
最終的なペイロードは、リモートコマンド実行やbase64エンコードされたJSONコマンドによるデータ流出が可能な軽量WebSocket RATです。
出典: SentinelLabs
研究者らは、この短期間のキャンペーンが、その後ウクライナのリヴィウのユーザーを成人向けAndroid APKやクラウドストレージツールで標的とした作戦と関連していたことを突き止めました。
これらのアプリはスパイウェアとして機能し、被害者のリアルタイム位置情報、通話履歴、連絡先リスト、画像を監視し、攻撃者に流出させます。
SentinelLABSは「私はロボットではありません」ClickFix攻撃の帰属は行っていませんが、研究者はWebSocket RATがロシアのインフラ上にホストされていたこと、成人向けキャンペーンがロシア/ベラルーシ発の開発に関連している可能性があることを指摘しています。
さらに、昨日Google Threat Intelligence Group(GTIG)から発表されたレポートでは、ColdRiver(別名Star Blizzard、UNC4057、Callisto)に帰属される攻撃で使われた悪意ある「私はロボットではありません」キャプチャチャレンジについて説明されています。この脅威グループはロシア情報機関(FSB)に帰属されています。
GTIGは、ColdRiverがサイバースパイ活動で使っていた旧ツールが研究者によって公表された後、ハッカーが新しいマルウェアファミリーを素早く実運用化したことを強調しました。
