ハッカーがLinuxを標的としたClickFix攻撃をテスト中

クリックフィックス（ClickFix）攻撃を用いた新たなキャンペーンが、WindowsとLinuxの両システムを標的とし、どちらのオペレーティング・システム上でも感染を可能にするような指示を用いて行われていることが判明した。

ClickFixは、偽の検証システムやアプリケーションのエラーを利用して、ウェブサイト訪問者を騙し、マルウェアをインストールするコンソールコマンドを実行させるソーシャルエンジニアリングの手口です。

このような攻撃は従来、Windowsシステムを標的としており、Windowsの「ファイル名を指定して実行」コマンドからPowerShellスクリプトを実行するようターゲットに促すことで、情報窃取マルウェアの感染やランサムウェアの感染を引き起こしていました。

しかし、偽のGoogle Meetのエラーを利用した2024年のキャンペーンでは、macOSユーザーも標的にされていました。

Table of contents

Linuxユーザーを狙うClickFix
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

Linuxユーザーを狙うClickFix

先週Hunt.ioの研究者によって発見された最近のキャンペーンは、このソーシャル・エンジニアリングのテクニックをLinuxシステムに適応させた最初のものの1つである。

この攻撃は、パキスタンにリンクする脅威グループAPT36（別名「Transparent Tribe」）に起因するもので、インドの国防省になりすましたウェブサイトを利用し、公式とされるプレスリリースへのリンクを張っています。

Malicious website mimicking India's Ministry of Defence — **インド国防省を模倣した悪質なウェブサイト**
*出典：*Hunt.io：Hunt.io

訪問者がこのウェブサイトのリンクをクリックすると、プラットフォームによってOSが特定され、正しい攻撃フローにリダイレクトされる。

Windowsの場合、被害者にはフルスクリーンのページが表示され、コンテンツの使用権が制限されていることを警告する。Continue」をクリックするとJavaScriptが起動し、悪意のあるMSHTAコマンドが被害者のクリップボードにコピーされる。

これにより、攻撃者のアドレスに接続する.NETベースのローダーが起動され、ユーザーは、すべてが正当で期待通りに見えるように、おとりPDFファイルを見ることになる。

Linuxでは、”I’m not a robot button “をクリックすると、被害者はクリップボードにシェルコマンドをコピーするCAPTCHAページにリダイレクトされる。

その後、被害者はALT+F2を押してLinuxの実行ダイアログを開き、そこにコマンドを貼り付け、Enterを押して 実行するよう誘導される。

Instructions for Linux users — **Linuxユーザー向けの説明**
*ソースはこちら：Hunt.io*

Hunt.ioによると、このコマンドはターゲットのシステム上に’mapeal.sh’ペイロードをドロップし、現在のバージョンでは悪意のあるアクションを実行せず、攻撃者のサーバーからJPEG画像をフェッチすることに限定されている。

Linux ClickFix script — **Linux ClickFixスクリプト**
*ソースは* こちら：

「このスクリプトは、同じtrade4wealth[.]inディレクトリからJPEG画像をダウンロードし、バックグラウンドで開きます」とHunt.ioは説明します。

「実行中、永続化メカニズム、横方向への移動、送信通信などの追加的な活動は観察されませんでした。

しかし、APT36は、マルウェアのインストールやその他の悪意のある活動を実行するために、イメージをシェルスクリプトに置き換える必要があるため、Linux感染チェーンの有効性を判断するために現在実験を行っている可能性がある。

ClickFixがLinuxへの攻撃に適応したことは、その有効性を示すもう1つの証拠であり、この攻撃タイプは現在、3つの主要なデスクトップOSプラットフォームすべてに対して使用されている。

一般的なポリシーとして、ユーザーはコマンドの実行内容を正確に把握しないまま、実行ダイアログにコマンドをコピー＆ペーストしてはならない。そうすることは、マルウェア感染や機密データの盗難のリスクを高めるだけです。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } .

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。

Linuxユーザーを狙うClickFix

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

Comments