2026年3月24日に観察された最近のSmartApeSGキャンペーンは、段階的な感染プロセスを通じて複数のリモートアクセストロイの木馬(RAT)と情報盗聴プログラムを配信するClickFixベースの攻撃チェーンの増加する高度化を浮き彫りにしています。
感染はClickFix手法から始まり、ここで被害者は侵害された正規のウェブサイトから偽のCAPTCHAページにリダイレクトされます。
このページはユーザーをだまして、クリップボードにコンテンツをコピーして手動で実行するという悪意のあるスクリプトを実行させます。
レポートによると、この活動は、脅威行為者がRemcos RAT、NetSupport RAT、StealC、およびSectop RAT(ArechClient2)などのマルウェアファミリーを連鎖させて、永続性を維持し、時間をかけてアクセスを拡大する方法を示しています。
実行されると、スクリプトはリモートサーバー(urotypos[.]com)からHTAファイルを取得し、一時的にユーザーのAppDataディレクトリにpost.htaとして保存します。スクリプトは法的証拠を減らすためにこのファイルを実行後に削除します。
マルチステージマルウェアのタイムライン
感染チェーンは、すべてのペイロードを即座に配信するのではなく、異なるステージで展開されます。観察されたタイムラインは遅延実行パターンを示しています:
- 17:11 UTC:ユーザーがClickFixスクリプトを実行。
- 17:12 UTC:Remcos RAT コマンド&コントロール(C2)トラフィックが開始。
- 17:16 UTC:NetSupport RAT活動が開始。
- 18:18 UTC:StealCマルウェアトラフィックが出現。
- 19:36 UTC:Sectop RATトラフィックが開始。
この段階的な展開は制御されたペイロード配信を示唆しており、検出を回避し長期的なアクセスを維持するためと考えられます。
HTAファイルはPDFファイルに偽装された大規模なZIPアーカイブをダウンロードし、それはRemcos RATペイロードを含みます。後続のステージは追加のマルウェアを導入します:
- Remcos RAT:初期の永続性とリモートアクセスを確立。
- NetSupport RAT:直後に配信され、攻撃者が制御するインフラストラクチャで構成された正規のリモート管理ツールを使用。
- StealC:約1時間後に展開される認証情報とデータ盗聴プログラム。
- Sectop RAT(ArechClient2):拡張制御を提供するファイナルステージペイロード。
キャンペーンは大いにDLLサイドローディングに依存しており、正規の実行ファイルが悪意のあるDLLをロードするために使用されます。この手法は信頼できるバイナリを活用することで、セキュリティコントロールをバイパスするのに役立ちます。
ClickFixキャンペーン
アーティファクトにはZIPおよびRARアーカイブが含まれており、AppData、ProgramData、およびPublicフォルダなどのディレクトリに配置され、多くの場合、善意のあるファイル名に偽装されています。
SmartApeSGキャンペーンは非常に動的です。ファイル名、ハッシュ、ドメイン、および配信パスは頻繁に変更され、静的検出を困難にしています。
HTAファイルと初期ペイロード識別子は感染全体で異なり、自動化されたまたは頻繁に更新されるインフラストラクチャを示しています。
このキャンペーンは、攻撃者がシングルペイロード感染を超えて、モジュール式の時間遅延攻撃チェーンに移行している方法を示しています。
マルウェア展開をスペーシングすることで、攻撃者は検出の可能性を減らし、アクセスを維持する可能性を高めます。
ディフェンダーにとって、これは初期感染の検出後に監視を停止すべきではないことを意味します。ネットワークトラフィック分析、行動検出、および遅延イベントの相関は、侵害の全範囲を特定するために重要です。
例:Remcos RATトラフィックだけを検出することは、数時間後に発生し、異なる攻撃者の目的を果たすStealCまたはSectop RATの後の展開を明らかにしないかもしれません。
組織は、ユーザーコンテキストからのスクリプトベース実行のブロック、異常な送信接続の監視、およびDLLサイドローディング動作の検出に焦点を当てて、そのような脅威を軽減すべきです。
翻訳元: https://gbhackers.com/smartapesg-clickfix-campaign/
