出典: ACORN 1 via Alamy Stock Photo
ClickFixキャンペーンは、さまざまなセキュリティ研究者によると勢いを増しており、最近では世界中の幅広いサイバー攻撃者からキャンペーンが確認されています。このますます人気のある戦術は、ソーシャルエンジニアリングの重要な新しい進化を示しており、企業は注意を払う必要があると研究者は言います。
ClickFixの活動は雪だるま式に増加しています。 Darktraceは昨日、ヨーロッパ、中東、アフリカ(EMEA)およびアメリカの顧客環境で複数のClickFix攻撃を最近特定したと述べました。一方、SlashNextは別の レポートで、Web保護会社のCAPTCHAに似たTuringテストであるCloudflare Turnstileを偽装した攻撃ベクトルの異常なバージョンを詳細に説明しました。また今週、Cofenseは Booking.comのCAPTCHAを偽装したキャンペーンを概説し、ホテルチェーンをリモートアクセス型トロイの木馬(RAT)や情報窃取ツールで狙いました。
ClickFixは昨年、Proofpointの研究者が 訪問者にオーバーレイエラーメッセージを提供する侵害されたウェブサイトを観察した際に攻撃手法として初めて明らかになりました。そのメッセージは、ブラウザの更新が問題を引き起こしていると主張し、被害者に「Windows PowerShell(管理者)」を開くように求め(これによりユーザーアカウント制御(UAC)のプロンプトが表示されます)、問題を「修正」するコードを貼り付けるように右クリックするよう求めました。しかし、修正ではなく、ユーザーは知らずにマルウェアをインストールしていました。その場合、Vidar窃取ツールでした。
関連:攻撃に使用されたConnectWiseの欠陥に関する疑問が渦巻く
標準的なClickFix感染手順はブラウザ内で行われます。出典: Darktrace
2024年4月以降、ソーシャルエンジニアリング戦術の無数のバリエーションが明らかになり、最終的にはRATやバックドアから暗号通貨マイナーやランサムウェアまで、さまざまな悪意のあるバイナリを配信しています。誘引も多様で、攻撃者はウォーターホールターゲットに ブラウザプラグインの更新を求める(これにより資格情報収集ツールが配信される)か、 北朝鮮のLazarus APTの場合、求職者を偽の面接サイトに誘導します。そこで被害者は面接のためにカメラを有効にするよう求められ、”エラーメッセージ”を受け取り、それを”修正”するためにクリックするよう促されます。結果としてFrostyFerretパスワード窃取ツールやGolangGhostバックドアがダウンロードされます。
「ClickFixキャンペーンの目的は攻撃者によって異なります」とDarktraceのセキュリティおよびAI戦略担当副社長のNathaniel Jonesは言います。「目的は、後で使用するためにプロキシのネットワークを構築するためにできるだけ多くのシステムに感染させることかもしれません。ある攻撃者は資格情報やドメインコントローラーファイルを流出させ、初期アクセスのために他の脅威アクターに販売しようとしています。したがって、被害者のタイプや目的は一つではなく、この戦術は柔軟でさまざまな方法で使用されています。」
関連:ChromeがChunghwa、Netlock証明書の信頼を解除
ClickFixが広範な脅威アクターの関心を集める
被害者にマルウェアを仕込むこのスイスアーミーナイフのようなアプローチは、サイバー攻撃者がClickFixを好む理由の一つですが、彼らはそのステルス性にも魅了されています。例えば、Darktraceの分析によれば、被害者が修正するためにクリックした後、ほぼすべてのケースで悪意のあるPowerShellコマンドが実行されました。
「私たちの防御が進化し、悪意のあるコードを起動するフィッシングメールの添付ファイルをブロックするのが上手くなったため、脅威アクターはユーザーを操作してコードを実行させるためのより創造的な方法を見つけるために技術を進化させました」とBeyondTrustのフィールド最高技術責任者であるJames Maudeは言います。「この場合、ソーシャルエンジニアリングと 生活のためのバイナリ(LoLBins)の組み合わせを使用しており、防御が難しいです。ユーザーは単にPowerShellコマンドを起動するだけで、エンドポイント検出および応答(EDR)ソリューションによって検出される可能性のある悪意のあるバイナリを起動するわけではありません。」
Darktraceは他のステルス戦術も特定しました。PowerShellコマンドを実行した後、脅威アクターはコマンドアンドコントロール(C2)サーバーとの外部通信を開始し、数値で命名されたファイルをダウンロードします。
関連:LummaC2が分裂し、Acreedマルウェアがトップドッグに
「このような数値ファイルはしばしば意図的に説明がなく、マルウェアと関連付けられています」とDarktraceのレポートは述べています。「ファイルのさらなる調査により、リモートサービスをさらに悪用し、デバイス情報を収集するために設計された追加の悪意のあるコードが含まれていることが明らかになりました。」
その後、攻撃者はさらに悪意のあるコードを実行し、データを流出させ、追加の内部システム情報をスキャンしましたが、研究者は被害者のネットワーク内に完全に埋め込まれた後にのみそれを行ったと指摘しました。
「これは広範なキャンペーンです」とDarktraceのJonesは言います。「私たちはClickFixがさまざまな地域や業界で使用されているのを見ており、ますます頻繁になっています。効果的であるため、国家レベルのグループを含む広範な脅威アクターがそれを作戦に取り入れています。実行と適応が容易であるため、今後も増えると予想しています。」
ソーシャルエンジニアリングの進化
ClickFixは、ターゲットを日常的な無害に見える行動を取らせることで効果的です。ターゲットはメッセージや通知をよく目にするため、疑問を持つことが少ないのです。
完璧な例として、SlashNextの研究者はClickFix攻撃者がCloudflare TurnstileのCAPCHAに似たインターフェースをクローンしていることを発見しました。彼らは悪意のあるサイトや侵害されたサイトが「サイト接続が安全か確認中 — 人間であることを確認してください」というメッセージを提供しているのを観察しました。これは本物のCloudflareページと同じです。ターゲットが偽のTurnstileチェックボックスをクリックすると、コードをカットアンドペーストしてEnterを押すように求めるプロンプトが表示され、隠されたPowerShellコマンドが展開され、マルウェアのインストールが開始されます。
攻撃の開始時に表示される偽のCloudflareページ。出典: SlashNext
同様に、Cofenseは偽のCAPTCHAが被害者が偽のBooking.comリンクをクリックした後に表示されると報告しました。ユーザーが「確認」すると、実際にはマルウェアの展開につながるPowerShellコマンドを入力するためのワンタイムコードが送信されます。
このアプローチとClickFix全般は、Jonesによれば、フィッシングの世界における重要な革新を表しています。なぜなら、誰かにタイプスクワットされたリンクをクリックするように求めるメールとは異なり、攻撃全体がブラウザ内で行われるからです。
「ClickFixは注目に値するのは、ソーシャルエンジニアリングが信頼された日常的なユーザー行動にますます依存するように進化していることを示しているからです」と彼は説明します。「攻撃者はソフトウェアを直接悪用するのではなく、ユーザーに作業をさせています。彼らはGoogle ChromeやFacebookのように人々が信頼するウェブサイトを利用しています。」
そして、それが革新的な偽装である一方で、SlashNextはTurnstileクローン自体を調査する際により大きな教訓を発見しました。それは、地下フォーラムで展開可能なモジュールとして商品として販売されているカスタムClickFix実装です。それはフィッシングキット経済に新たなシワを示しており、ユーザーがすぐに疑わしいと見なさないあらゆる種類の革新的な「フランケンシュタイン」攻撃チェーンにつながる可能性があります。
「 完全なキットの代わりに、今ではスタンドアロンモジュールとして販売される専門的なペイロードを見ています」とSlashNextのセキュリティ研究者であるDaniel Kelleyは言います。「それにより攻撃がより柔軟になり、脅威アクターのスキル要件が低くなります。このパッケージはフィッシングインフラストラクチャがどこに向かっているかを示しています。よりモジュール化され、スケーラブルな配信に向かっています。」
彼は続けます。「私たちが見つけたのは、将来の使用のために販売されているパッケージ化されたペイロードでした。それは、時間とともに複数のアクターによって採用される可能性が高いことを示唆しています。」
これらすべては、企業がフィッシング防御をメールフィルターや標準的な従業員教育を超えて進化させる必要があることを意味します。
「妥協はクリックの後に発生し、前ではありません」と彼は説明します。「企業はフィッシングを多段階のプロセスとして扱い、受信トレイに届くものだけでなく、ブラウザで何が起こるかに焦点を当てるべきです。」
具体的な推奨事項には次のものがあります:
-
リダイレクトの動作と疑わしいスクリプトの実行を監視および制限する
-
特にブランドやログインポータルに関連するドメインの悪用を追跡する
-
基本的なリンクの衛生だけでなく、実際のフィッシングフローについてユーザーを教育する
-
エンドポイント、ネットワーク、クラウド全体に独立したセキュリティレイヤーを展開する
-
ネットワークのセグメンテーションは、攻撃者が侵入した場合の移動を制限するのに役立ちます
-
アイデンティティとアクセス制御を実施して露出を減らす
-
異常な行動を追跡するためのログを実装する
-
これらの攻撃が成功した場合、対応時間が重要であるため、インシデント対応計画を持つこと
また、BeyondTrustのMaudeによれば、これらの攻撃の最悪のシナリオを理解することも重要です。
「一般的に、これらのフィッシングキャンペーンの目的は、資格情報を収集してアカウントやIDにさらにアクセスし、他のシステムへの特権アクセスを可能にすることです。そのため、 最小特権の原則に基づいた堅牢なアイデンティティセキュリティの姿勢を持つことが不可欠です」と彼は言います。「また、妥協が発生した場合の影響範囲を理解することも重要です。フィッシングがエンドポイントで始まったからといって、そこにとどまるわけではなく、アクティブなブラウザセッションや保存された資格情報がクラウドやSaaSアプリに移行することを可能にしたかもしれません。これが、侵害をアイデンティティ中心の視点で捉え、ユーザーがアクセスできるすべてのシステムを可視化することが重要な理由です。」