最新のキャンペーンでは、PNG画像のRGBピクセル値にマルウェアを隠す手法も使われています。
CSOやWindows管理者は、最新バージョンのClickFixソーシャルエンジニアリング攻撃をブロックするために、個人用コンピューターが自動的にコマンドを実行できる機能を無効にするべきです。
このアドバイスはHuntressの研究者からのもので、今週警告されたように、従業員が悪意のあるコマンドを実行するよう騙されるClickFixベースの新たな攻撃が拡散しているとのことです。
このキャンペーンの最新の手口には、ステガノグラフィー(画像のピクセルにマルウェアを隠す手法)と、「非常に説得力のある」偽のWindowsアップデート画面が含まれています。この画面はユーザーに「ファイル名を指定して実行」プロンプトを開かせ、悪意のあるコマンドを貼り付けて実行するよう促します。
そのコマンドはLummaC2やRhadamanthysインフォスティーラーを配信します。
Huntressは、今回のレポートが11月13日のOperation Endgame法執行機関による摘発(Rhadamanthysインフラを標的とした)の後に発表されたものだと述べています。11月19日時点でも、複数のアクティブなドメインがRhadamanthysキャンペーンに関連するWindowsアップデート誘導ページをホストし続けていました。これらの誘導はすべて、以前Rhadamanthysの配信に関連付けられていた同じ16進数エンコードのURL構造を指していますが、このペイロードは既にホストされていないようです。
レポートによれば、防御側が最初に取るべきステップは、このマルウェアの実行を阻止することです。「ClickFixを最も効果的に緩和する方法は、Windowsの『ファイル名を指定して実行』ボックスを無効にすることです」とHuntressは述べています。これはWindowsレジストリを変更するか、GPO(グループポリシーオブジェクト)ルールを展開して『ファイル名を指定して実行』ボックスへの操作をブロックすることで実現できます。
その後、レポートはすべてのソーシャルエンジニアリング攻撃に対抗するための標準的な対応策を推奨しています:効果的な従業員向けセキュリティ意識向上トレーニングです。「ユーザーにClickFixの手口についてトレーニングを行い、正規のCAPTCHAやWindowsアップデートのプロセスではコマンドの貼り付けや実行を求められることは絶対にないと強調してください」とレポートは述べています。
ClickFixに関する警告
専門家たちはClickFix攻撃(時にpastejackingとも呼ばれる)について、少なくとも2024年初頭から警告してきました。これらは多くの場合、被害者をリアルな偽のランディングページ(Windowsアップデートページや政府機関のウェブサイトを装う)に誘導するフィッシング誘導から始まります。攻撃の核心は、ユーザーにプロンプトをクリックさせ、コマンドをコピー・貼り付け・実行させる指示を与えることにあります。これらはWindowsのファイル名を指定して実行ダイアログやWindows Terminal、Windows PowerShellで行われ、マルウェアを起動するスクリプトのダウンロードにつながります。
Huntressによると、最新のClickFixキャンペーンでは2つの新しい手口が使われています:
- 10月初旬から使われている、フルスクリーンで表示される偽の青いWindowsアップデートスプラッシュページ。リアルな「更新プログラムを処理中」アニメーションが表示され、最終的にユーザーに標準的なClickFixパターン(ファイル名を指定して実行プロンプト(Win+R)を開き、悪意のあるコマンドを貼り付けて実行)を促します。
なぜ従業員がこれを実行するのか? それは被害者が人間であることを証明するためのテストの一部だと偽っているからです。「人間認証。ロボットでないことを証明するために3つの簡単なステップに従ってください。」という画面が表示されます。これは従業員にも馴染みのあるCAPTCHAリクエストのようなものです。この場合、3つのステップは:Windowsボタン+Rを押す(ファイル名を指定して実行ボックスを開く)、CTRL+Vを押す(自動的にクリップボードにコピーされたコマンドを貼り付ける)、Enterを押して「認証する」(実際にはスクリプトのダウンロードを引き起こすコマンドを実行する)です。 - ステガノグラフィー:最終的なマルウェア段階を画像内に隠します。単に悪意のあるデータをファイルに追加するのではなく、悪意のあるコードがPNG画像のピクセルデータ内に直接エンコードされており、特定のカラーチャンネルを利用してメモリ上でペイロードを復元・復号します;
レポートの共著者Ana Pham氏は、メールで「ステガノグラフィー自体はマルウェア活動では新しいものではありませんが、今回注目すべきはその実装方法です。単に画像ファイルに悪意のあるデータを追加するのではなく、このキャンペーンではペイロードをPNG画像のRGBピクセル値に直接エンコードし、特定のカラーチャンネルを読み取ってXOR復号を適用することでシェルコードを抽出します。これはシグネチャベースの検出を回避するために、単純なファイル追加技術よりも手の込んだアプローチです。」と述べています。
Windowsアップデートをテーマにした手口は、ユーザーが見慣れているものを模倣しているため、特に効果的だと彼女は述べています。リアルなアニメーション付きのフルスクリーンWindowsアップデートスプラッシュページが表示されるのです。
「この誘導が標準的な『ロボット認証』ページと比べて非常に説得力があることを考えると、他の脅威アクターも同様の手法を採用する可能性が高いでしょう」と彼女は付け加えました。「これらの誘導のソースコードにはロシア語のコメントが含まれており、難読化もあまりされていないため、他のグループによって比較的簡単に共有・コピーされる可能性があります。」
攻撃は今や「蔓延」している
ClickFixはHuntressの顧客間で蔓延しており、今年最も広く見られる脅威の一つになっていると彼女は述べています。過去6か月間で、ClickFix関連のインシデントは313%増加しています。
Huntressは、9月下旬から10月にかけての1か月間で、この特定のキャンペーンに関連する76件の個別インシデントに対応しました。攻撃は米国、欧州/中東/アフリカ、アジア太平洋など複数の地域の組織を標的にしています。
これらのインシデントを結びつける特徴は、Pham氏によれば、最初のペイロードにあります。最終的にステガノグラフィックローダーを配信するこのペイロードには、必ず2番目のオクテットが16進数形式でエンコードされたURLが含まれています。
Palo Alto NetworksのUnit 42脅威インテリジェンス部門の研究者も、ClickFix攻撃の増加を報告しています。7月のレポートによれば、攻撃者は被害者に、パフォーマンス問題やドライバーの欠落、ポップアップエラーなど一般的なコンピューターの問題を素早く修正するためのコマンドをコピー&ペーストさせるよう誘導します。偽のテクニカルサポートフォーラムがこうした攻撃の出発点となることもあります。他のキャンペーンでは、偽のDocuSignやOktaシングルサインオンページを使ってユーザーを騙すことも知られています。ペイロードにはインフォスティーラー、リモートアクセス型トロイの木馬(RAT)、セキュリティを無効化するツールなどが含まれます。
「この配信方法は多くの標準的な検出・防止コントロールを回避します」とPalo Altoのレポートは述べています。「エクスプロイト、フィッシング添付ファイル、悪意のあるリンクはありません。代わりに、潜在的な被害者が信頼されたシステムシェルを通じて自分自身でコマンドを実行してしまいます。この方法により、ClickFixによる感染はドライブバイダウンロードや従来型のマルウェアドロッパーよりも検出が難しくなります。」
さらに、NCC Groupの研究者が本日発表したレポートでは、5月に発見されたClickFix攻撃について報告しています。これはドライブバイ型の侵害と偽のCAPTCHAポップアップを利用し、Lumma C2 Stealerのインストールを狙ったものでした。
CSOが取るべき対策
しかし、CSOにも防御策はあります。一つは、レジストリの変更やグループポリシーを通じてWindowsの「ファイル名を指定して実行」ダイアログを無効にすることです。また、調査時にはRunMRUレジストリキー(「ファイル名を指定して実行」ウィンドウで最近実行されたコマンドの履歴)を監査し、ユーザーが疑わしいコマンドを実行していないか確認するべきです。Palo Alto Networksは、RunMRUの内容で疑わしい兆候として、難読化された内容、不明または疑わしいドメインからのペイロードのダウンロード・実行に関連するキーワード、管理インターフェースへの呼び出しを示すキーワードなどを挙げています。
Pham氏はまた、特にexplorer.exeからmshta.exeが起動されたり、PowerShellで異常なコマンドライン引数が使われたりするなど、疑わしいプロセスチェーンを監視するためのエンドポイント監視の導入も推奨しています。
Palo Alto Networksはまた、一部の攻撃者がRunMRUレジストリキーに活動を残さないよう、PowerShell(Windows 11)やコマンドプロンプト(Windows 10)を起動する指示を提示する手口も警告しています。EDRテレメトリやWindowsイベントログでこの手法の兆候を確認できます。
セキュリティ意識向上トレーニングは重要ですが、それだけが唯一の防御策であってはならないとPham氏は述べています。
「ClickFixが成功するのは、ユーザーの信頼や習慣的な行動を悪用するからです」と彼女は述べました。「ユーザーはCAPTCHAチェックやWindowsアップデート画面を日常の一部として本能的に信頼しています。よく訓練されたユーザーでさえ、説得力のあるフルスクリーンのWindowsアップデートアニメーションには油断してしまうことがあります。最も効果的な[緩和]アプローチは、ユーザー教育と技術的コントロールの組み合わせです。『ファイル名を指定して実行』ダイアログの無効化、疑わしいプロセス挙動の監視、堅牢なエンドポイント検出の維持が重要です。多層防御がここでは重要であり、トレーニングは誰かが誘導に引っかかる可能性を減らしますが、技術的コントロールは万が一の際のセーフティネットとなります。」
現時点でHuntressは、この特定のキャンペーンが特定の脅威アクターによるものか、複数の脅威グループによるものかを判断するのに十分な証拠を持っていないとPham氏は述べています。
