最近のインシデント対応調査により、単一の従業員の行動がいかに静かに企業ネットワーク全体を公開できるかが明らかになりました。
セキュリティアナリストは、攻撃者が数ヶ月間企業内へのアクセスを維持していたことを発見した後、法執行機関と大規模組織をサポートしました。
このケースは、増加する脅威を浮き彫りにしています:偽のCAPTCHA ClickFix攻撃。このソーシャルエンジニアリングトリックは無害に見えますが、高度なマルウェアを配信します。
調査は1つの企業に焦点を当てていましたが、研究者はこのキャンペーンが大量配布されており、標的化されていないことを強調しています。Windowsワークステーションを使用している任意のビジネスが影響を受ける可能性があります。
エントリーポイントは驚くほどシンプルでした。ユーザーは偽のCAPTCHA検証メッセージを表示するウェブサイトにアクセスしました。ユーザーにチェックボックスをクリックするよう求める代わりに、ページはコマンドをコピーしてWin + Rを使用して実行することによって「検証を修正」するよう指示しました。
ペーストして実行することで、ユーザーは無意識のうちにマルウェアをメモリに直接ダウンロードしました:添付ファイルなし、インストーラーなし、ブラウザからの警告もありません。攻撃者の観点から見ると、被害者は自発的に感染を開始しました。
ログは後で複数の類似した悪意のあるドメインを確認しました。調査官はTelegram botトークンを含むJavaScriptを見つけました。おそらく新しい被害者を報告することを意図していました。
トークンは不正な形式でした。ページコードが自動生成され、十分にテストされていない可能性があることを示唆しています。
実行後、ユーザープロファイルの下の疑わしいディレクトリ内にファイルが表示されました。通常のWindowsファイルの中で、1つ目立つ悪意のあるwtsapi32.dllがありました。
攻撃者はDLLサイドローディングと呼ばれる手法を使用しました:正当なソフトウェアがその隣に悪意のあるライブラリをロードし、コードがアラームを発生させずに実行されることを可能にします。
DLLはLatrodectusの一部であることが判明しました。これはシステムをさらなる侵害に備えるために設計されたローダーマルウェアファミリーです。
マルウェアはコマンド・アンド・コントロールサーバーに連絡し、ユーザー名、コンピューター名、ドメイン情報、ネットワーク設定など、システムデータを収集しました。
調査官はSupperという名前の2番目のマルウェアファミリーも特定しました。このバックドアは、Googleアップデートに偽装したスケジュール済みWindowsタスクを作成することで永続性を確立しました。
コマンドサーバーとの通信は暗号化され、内部プロセスとネットワーク信頼関係のリストが含まれていました。
これは攻撃者が1人の従業員ワークステーションからより広い企業インフラストラクチャーに広がるラテラルムーブメントの準備をしていたことを意味します。
教訓は明白です:この攻撃はエクスプロイトも脆弱性も必要ありませんでした。ユーザーはウェブページに表示された指示に従っただけです。
組織は、実行ダイアログから起動されたPowerShellをブロックし、異常なスケジュール済みタスクを監視し、アウトバウンド接続を制限し、CAPTCHAがコマンドをWindowsにコピーすることを決してしないことをスタッフに教育することで、リスクを軽減できます。
翻訳元: https://cyberpress.org/fake-captcha-clickfix-outbreak/