新たに発見されたClickFixフィッシングキャンペーンは、被害者を騙して悪意のあるPowerShellコマンドを実行させ、感染したデバイスにリモートアクセスするためのHavokポストエクスプロイトフレームワークを展開させるものです。
ClickFixは、昨年登場したソーシャルエンジニアリングの手口で、脅威の実行者が偽のエラーを表示するウェブサイトやフィッシングの添付ファイルを作成し、ユーザーにボタンをクリックしてエラーを修正するよう促します。
ボタンをクリックすると、悪意のあるPowerShellコマンドがWindowsのクリップボードにコピーされ、ユーザーはそれをコマンドプロンプトに貼り付けてエラーを「修正」するよう促される。しかし、予想通り、悪意のあるPowerShellコマンドは、代わりにリモートサイトでホストされているスクリプトを実行し、デバイスにマルウェアをダウンロードしてインストールする。
マイクロソフトのクラウドサービスを悪用
フォーティネットのFortiguard Labsが発見した新たなClickFixキャンペーンでは、「制限付き通知」が閲覧可能であり、受信者は添付されたHTMLドキュメント(’Documents.html’)を開いて閲覧するよう記載したフィッシングメールを送信しています。
このHTMLを開くと、偽の0x8004de86エラーが表示され、「One Drive」クラウドサービスへの接続に失敗しました。
ソースは こちら:
修正方法」ボタンをクリックすると、PowerShellコマンドが自動的にWindowsのクリップボードにコピーされ、その実行方法が表示される。
ソースは こちら:
このPowerShellコマンドは、脅威行為者のSharePointサーバー上でホストされている別のPowerShellスクリプトを起動しようとします。
Fortiguardによると、このスクリプトは、Windowsドメイン内のデバイス数を照会することで、デバイスがサンドボックス環境にあるかどうかをチェックします。サンドボックス内にあると判断された場合、スクリプトは終了します。
そうでない場合、スクリプトはWindowsレジストリを変更し、スクリプトがデバイス上で実行されたことを示す値を追加します。その後、Pythonがデバイスにインストールされているかどうかをチェックし、インストールされていない場合はインタプリタをインストールする。
最後に、同じSharePointサイトからPythonスクリプトをダウンロードして実行し、Havokポストエクスプロイトコマンド&コントロールフレームワークを注入されたDLLとして展開します。
HavocはCobalt Strikeと同様のオープンソースのポストエクスプロイトフレームワークで、攻撃者は侵害されたデバイスをリモートで制御することができます。攻撃者は通常、Havocのようなポストエクスプロイトフレームワークを使用して企業ネットワークに侵入し、ネットワーク上の他のデバイスに感染を広げます。
今回のキャンペーンでは、HavocがマイクロソフトのグラフAPIを通じて脅威行為者のサービスに通信し、悪意のあるトラフィックを正規のクラウド・サービスの中に埋め込むように設定されています。こうすることで、攻撃者は通常のネットワーク通信に紛れ込み、検知を回避する。
このマルウェアは、Microsoft Graph上のSharePoint APIを使用してコマンドを送受信し、攻撃者のSharePointアカウントを効果的にデータ交換システムに変換する。
クリックフィックス攻撃は、サイバー犯罪者の間でますます人気が高まっており、彼らはこの攻撃を使って、情報窃取、DarkGate、リモートアクセス型トロイの木馬など、多種多様なマルウェアを展開しています。
また、Telegramのようなソーシャル・メディア・プラットフォームで使用するために、この手法を進化させ始めており、「Safeguard」と名付けられた偽の本人確認サービスが、ユーザーを騙してPowerShellコマンドを実行させ、Cobalt Strikeビーコンをインストールさせるために使用されています。
Comments