概要
脅威インテリジェンス企業Huntressの調査により、悪名高いKongTuke脅威アクターグループが仕掛ける巧妙なブラウザ拡張機能キャンペーンが明らかになりました。このキャンペーンは「CrashFix」と名付けられ、正規の「uBlock Origin Lite」を装った悪意ある広告ブロッカー「NexShield」を利用して、ユーザーをだまし、最終的に未公開のPythonベースのリモートアクセス型トロイの木馬「ModeloRAT」を配布しています。
Huntressの上級セキュリティ運用アナリストであるTanner Filip氏が2026年1月に発見したこの手口は、ブラウザが「異常終了した」と主張する偽のセキュリティ警告を表示し、ユーザーに修復スキャンを促すことで、悪意のあるPowerShellコマンドを実行させます。2025年初頭から追跡されているKongTukeの戦術が、大きく進化していることを示しています。
攻撃の手口
攻撃は、ユーザーが悪意のある広告ブロッカーを検索し、悪意のある広告を通じて公式のChromeウェブストアにリダイレクトされることから始まります。このNexShield拡張機能は、メールアドレス「[email protected]」で登録されており、正規のChromeウェブストア(ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi)でホストされているため、ユーザーに誤った信頼性を与えます。
NexShieldは、正規のuBlock Origin Liteバージョン2025.1116.1841とほぼ同一ですが、そのbackground.jsファイルは14%大きく、3,276バイトの悪意のあるペイロードが含まれています。この拡張機能は、タイポスクワッティングを利用して「Nexsnield[.]com」(「h」の代わりに「n」を使用)とコマンド&コントロール(C2)通信を確立します。
インストール後、拡張機能はChromeのAlarms APIを使用して60分間の遅延実行メカニズムを実装し、インストールと悪意のある動作の関連性を弱めます。この遅延の後、拡張機能は10億回の反復を試みるループを通じて無限のランタイムポート接続を作成し、被害者のブラウザに対してサービス拒否(DoS)攻撃を開始します。これにより、ブラウザの深刻な速度低下、応答不能、最終的なクラッシュが発生します。
クラッシュ後のソーシャルエンジニアリング
被害者がクラッシュしたブラウザを再起動すると、ブラウザが異常終了したと主張する偽のセキュリティ警告が表示され、Windowsの「ファイル名を指定して実行」ダイアログを開いてクリップボードから貼り付けるよう指示されます。この際、拡張機能は悪意のあるPowerShellコマンドを正規の修復コマンドとして偽装し、サイレントでクリップボードにコピーします。
このコマンドは、正規のWindowsユーティリティであるfinger.exeをLiving-off-the-Landバイナリとして悪用し、攻撃者が制御するインフラ(199.217.98[.]108)からペイロードを取得して実行します。
ModeloRATの機能
このキャンペーンは、ドメインに参加している企業のマシンとスタンドアロンのホームシステムを区別する洗練された被害者プロファイリングを採用しています。ドメイン参加ホストは、WinPythonポータブルディストリビューションにバンドルされた多機能なPythonバックドアであるModeloRATを受け取ります。
ModeloRATは以下の機能を持ちます:
- コマンド&コントロール通信にRC4暗号化を使用。
- 正規のソフトウェア名を模倣したWindowsレジストリのRunキー(例:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MonitoringService)を介して永続性を確立。 - 実行可能ファイル、DLL、Pythonスクリプトなど、複数のペイロードタイプをサポート。
- ハードコードされたC2サーバー(
170.168.103[.]208および158.247.252[.]178)と通信。 - 適応型ビーコン間隔:通常は300秒ごと、サーバーからコマンドが送られた場合は150ミリ秒のポーリングでアクティブモードに移行。連続した通信失敗の後には900秒間隔にバックオフし、検出を回避。
対策
組織は、セキュリティを強化するために以下の対策を講じる必要があります。
- 最近インストールされたブラウザ拡張機能に、不審な権限要求がないか厳密に調査する。
- ブラウザ拡張機能のAllowリストポリシーを導入する。
finger.exeの異常な実行、特に名前変更されたり一時ディレクトリから実行されたりする場合に監視を強化する。- 特定されたコマンド&コントロールインフラへのビーコン通信を監視する。
.topドメインを標的とするドメイン生成アルゴリズムのパターンを監視する。- ModeloRATの展開を検出するために、
HKCU\Software\Microsoft\Windows\CurrentVersion\Run内の正規ソフトウェア名を模倣した永続化エントリをレジストリで監視する。
侵害指標 (Indicators of Compromise – IOCs)
- NexShield Chrome拡張機能ID:
cpcdkmjddocikjdkbbeiaafnpdbdafmi - 主要C2サーバー(拡張機能テレメトリ):
nexsnield[.]com - finger.exeペイロードホスト:
199.217.98[.]108 - 不明なペイロード (aa.exe) SHA256:
fbfce492d1aa458c0ccc8ce4611f0e2d00913c8d51b5016ce60a7f59db67de67 - コア拡張機能スクリプト (background.js) SHA256:
6399c686eba09584bbbb02f31d398ace333a2b57529059849ef97ce7c27752f4 - GateKeeper .NETペイロードIP:
170.168.103[.]208,158.247.252[.]178 - ModeloRAT永続化メカニズム:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MonitoringService - ModeloRATペイロードZIP Dropbox URL:
hxxps://www.dropbox[.]com/scl/fi/6gscgf35byvflw4y6x4i0/b1.zip?rlkey=bk2hvxvw53ggzhbjiftppej50&st=yyxnfu71&dl=1 - Chrome拡張機能パッケージ (.crx) SHA256:
c46af9ae6ab0e7567573dbc950a8ffbe30ea848fac90cd15860045fe7640199c - NexShield開発者登録メール:
[email protected]