無意識の被害者がWindows Terminalを通じてマルウェアのインストールに誘導されていますが、一部の専門家はこれは昔からある手法だと述べています。それにもかかわらず、情報セキュリティ指導者はこの戦術について従業員に教育する必要があることで一致しています。
脅迫行為者はClickFixフィッシング攻撃の被害に陥らせるために異なる戦術を試みており、これはマルウェアをインストールするものだとMicrosoftは述べています。
潜在的な被害者にWindowsキー+Rで起動されるRun ダイアログに(悪意のある)コマンドをコピー&ペーストするよう求める代わりに、Windows+X→Iショートカットを使用してWindows Terminal (wt.exe)を直接起動するよう指示されています。
ターミナルが開かれると、被害者は偽のCAPTCHAページ、トラブルシューティングプロンプト、または日常的で無害に見えるように設計された検証スタイルのおとりを通じて配信される悪意のあるPowerShellコマンドをペーストするよう促されます。
なぜでしょうか?このルートを使用することで、異常な実行コマンドを監視する防御を回避し、Run コマンドを呼び出すことのないよう従業員に指示するセキュリティ認識トレーニングを無視することができます。
Microsoftは今週、Xの投稿でこの戦術について説明しました。このキャンペーンを特筆すべきものにしているのは、侵害後の成果であると述べています。1つのケースでは、埋め込まれた16進数コマンドをデコードするためのPowershellプロセスを最終的に起動する複数のWindows Terminal/PowerShellインスタンスが開かれています。
デコードされたPowerShellスクリプトは正当だが名前を変更された7-Zipバイナリをダウンロードし、ランダム化されたファイル名とzipされたペイロードで保存します。名前が変更されたアーカイブユーティリティはマルウェアを抽出して実行し、追加ペイロードの取得、スケジュール済みタスクを通じた永続性の確立、Microsoft Defender除外を通じた防御回避、および盗まれたマシンおよびネットワークデータの流出を含む多段階の攻撃チェーンを実行します。
2番目の攻撃パスでは、被害者は16進エンコードされたXOR圧縮コマンドをWindows Terminalにペーストします。このコマンドはAppData\Localにランダムに名付けられたバッチファイルをダウンロードし、その後cmd.exeを通じて呼び出されて%Temp%にVBScriptを書き込みます。バッチスクリプトは/launchedコマンドライン引数を使用してcmd.exeを通じて実行され、その後MSBuild.exeを通じて再実行され、LOLBinの悪用をもたらします。スクリプトはCrypto Blockchain RPC エンドポイントに接続し、エーテルハイディング技術を示唆し、QueueUserAPC()ベースのコード注入をchrome.exeおよびmsedge.exeプロセスに実行してWeb およびログインデータを収集します。
しかしこれは本当に新しいのか?
しかし、多くの専門家がMicrosoftの投稿に素早くコメントを追加し、Windows + X戦術は新しくないと文句を言っています。
Roger Grimes、認識トレーニング提供企業KnowBe4のCISO顧問も同意しています。
「Win+Rの代わりにWin+Xを使用するClickFix攻撃は、少なくとも6ヶ月間、もしかすると1年以上存在しています」と彼はメールで述べました。「実行中に彼らが行っていることは新しくありません。」
それにもかかわらず、彼は付け加えて、ClickFix攻撃の継続的かつ増加する使用は、情報セキュリティ指導者がまだ従業員にそれらについて教育する必要があることを意味しています。
「私たちは長い間、このタイプの攻撃に関するトレーニングコンテンツを提供してきました。ユーザーは、正当なものは決してWin+ どのようなキーでも無意味な内容をペーストしてコードを実行するよう求めることはないことを知る必要があります。そのようなことをするものは単に実行してはいけません」と彼は述べました。
「そしてすべてのWindowsコンピュータは、ランダムで未署名(組織によって署名されていない)のPowerShellコマンドが許可されないように制限されるべきです。 すべての組織とマシンはすでに以下のPowerShellコマンド設定を有効にしているべきです:’Set-ExecutionPolicy Restricted -Force‘。そうでない場合、組織のサイバーセキュリティリスクは必要以上にはるかに高くなっています。」
ペイロードチェーン「長持ちするように構築」
Joshua Roback、Swimlaneの主席セキュリティソリューションアーキテクトは、Microsoftが概説したキャンペーンが、日常的で安全に感じられる正当なWindowsツール内でペーストされたコマンドコンテンツを実行するようユーザーに仕向けることで、ClickFixプレイブックをより信頼できる日常的なワークフローに押し進めていることに注目しています。それは重要だと彼は言いました。なぜなら、それは人々が怪しいポップアップに関連付ける通常の精神的な赤旗を通り抜け、セキュリティチームがより明らかなClickFixパターンに調整した制御と検出の一部を回避することもできるからです。
ペイロードチェーンはまた、以前のバリアントよりも長持ちするように構築されていると彼は付け加えました。迅速なワンオフ検索トリックではなく、より層状の配信と永続性のアプローチを使用しており、ブレンドイン、より長く留まり、着地後の損害を静かにエスカレートするのに役立ちます。1つのパスは、攻撃者のインフラストラクチャがブレンドインして到達可能のままであるのを助ける追加の間接化レイヤーを追加し、テイクダウンと簡潔なブロッキングをはるかに効果的ではなくすることができます。
CISOの場合、従業員へのメッセージは明確でなければならないと彼は述べました。「簡単な経験則を使用してください:ペーストされたコマンドを実行しない、予期しないサインインを承認しない、すべてのインシデントを公式の会社サポートチャネルを通じて報告します。」
ClickFixの仕組み
ClickFixフィッシングキャンペーンは2024年に始まり、Microsoftはセキュリティブログで昨年、キャンペーンの戦術と侵害指標について詳しく説明しました。攻撃は、従業員がメールまたはテキスト内で、しばしば支払いまたは請求書のテーマを使用してリンクをクリックするか、添付ファイルを開くよう求められることから始まります。従業員が未承認ファイルをダウンロードするのを防ぐ防御を回避するために、ユーザーはポップアップボックスで「ダウンロードを確認する」よう指示され、Run ダイアログを開いてそこに何かをコピー&ペーストします。
目標は、無意識の被害者にLummaStealer(通常)などのインフォスティーラー、Xworm、AsyncRAT、NetSupport、SectopRATなどのリモートアクセスツール、LatrodectusおよびMintsLoaderなどのローダー、およびルートキットをダウンロードさせることです。
ブログでは、MicrosoftはClickfix攻撃と戦うための防御者へのヒントを提供しており、難読化またはエンコードされたコマンドを検出および分析するためにPowerShellのスクリプトブロックロギングを有効にすることを推奨しています。これにより、従来のロギングを回避する可能性のある悪意のあるスクリプト実行を可視化できます。
