GrayCharlieは、不正にアクセスされたWordPressサイトを利用して、偽のブラウザ更新やClickFix誘導を通じてNetSupport RATを配布する悪意のあるJavaScriptを静かに読み込む。
攻撃の手口
Insikt Groupは、GrayCharlieを財務目的で活動している脅威アクターとして追跡しており、SmartApeSGと重複しています。このグループは、2023年中頃から活動を開始し、合法的なWordPressサイトをマルウェア配布ポイントに変換することを専門としています。
GrayCharlieは、不正にアクセスされたページに外部ホストのJavaScriptリンクを挿入します。これにより、訪問者は偽のブラウザ更新ページやClickFixスタイルのソーシャルエンジニアリングフローにリダイレクトされ、最終的にNetSupport RATが配布されます。
脅威の展開
一旦NetSupportがインストールされ、攻撃者が制御するC2サーバーと接続すると、GrayCharlieのオペレーターは監視やファイル操作、さらなるペイロード配布(情報窃取マルウェアStealcやリモートアクセスマルウェアSectopRAT)を行うことができます。
インフラストラクチャ
GrayCharlieは、MivoCloudとHZ Hosting Ltdを主に使用する大規模で層構造のインフラストラクチャを持っています。これには、NetSupport RAT C2サーバー、悪意のあるJavaScriptテンプレートをホストするステージングサーバー、キャンペーン管理用のハイアーティアシステムが含まれます。
攻撃の展開
GrayCharlieは最初に偽のブラウザ更新オーバーレイを使用していました。これはChrome、Edge、Firefox向けにカスタマイズされており、ユーザーにダウンロードするように促す偽のアップデートパッケージが実際にはJavaScript駆動型NetSupportインストーラーであることが判明しました。
2025年には、ClickFixフローを使用して攻撃を拡大しました。これにより、不正にアクセスされたWordPressページは偽のCAPTCHAを表示し、ユーザーがWindows Runダイアログで実行するように指示されるPowerShellベースのコマンドをクリップボードにコピーします。
対策
Insikt Groupは、NetSupport RAT、Stealc、SectopRATなどのツールに関連するIPアドレスやドメインを積極的にブロックすることを推奨しています。また、既に不正にアクセスされたWordPressサイトへのトラフィックを高リスクと扱うことも重要です。
セキュリティチームは、NetSupportコンポーネント、ClickFixスタイルのコマンド、GrayCharlieのJavaScriptやPowerShellローダーパターンを検出する更新されたYARA、Snort、Sigmaルールを展開し、歴史的なログで同様な活動を探すべきです。
追加の推奨制御には、メールとウェブフィルタリングの強化、既知の悪意のあるインフラストラクチャへのデータエグゾフィレイションを監視し、新しいGrayCharlie脅威情報源を継続的に取り入れて検出およびブロックポリシーを最新に保つことが含まれます。