新たなハイブリッド型フィッシング攻撃
サイバーセキュリティ研究者たちは、現代のセキュリティ防御を回避するために、FileFixソーシャルエンジニアリングとキャッシュスミッシング技術を組み合わせた、フィッシング攻撃の巧妙な進化を発見しました。このハイブリッド型攻撃手法は、悪意のあるコードがウェブ要求を行う必要をなくし、代わりにキャッシュスミッシングによってブラウザのキャッシュに仕込まれたペイロードを直接抽出します。
この技術は、信頼できないコードのインターネットアクセス監視に焦点を当てたセキュリティ制御を回避するため、攻撃戦術における重要な進歩を示しています。
ClickFixからFileFixへの進化
この攻撃は、脅威アクターが偽のCAPTCHAプロンプトを作成し、被害者に悪意のあるコマンドを実行させるClickFixという確立された手法に基づいています。これらのフィッシング詐欺は通常、ユーザーにWindowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開かせ、次にCtrl + Vでクリップボードの内容を貼り付け、Enterを押して実行するように指示します。舞台裏では、悪意のあるウェブページ上のJavaScriptがすでに被害者のクリップボードに有害なコマンドを挿入しています。
しかし、「ファイル名を指定して実行」ダイアログの260文字という制限は、攻撃の複雑さを著しく制限し、攻撃者は容易に検出されるPowerShellやMSHTAダウンローダーに頼らざるを得ませんでした。この制限を解決するために登場したのがFileFixです。これは、被害者をWindows Explorerのアドレスバーに悪意のあるコマンドを貼り付けるように誘導します。アドレスバーは最大2,048文字をサポートするため、攻撃者は大量のスペースで実際のコマンドを隠し、無害に見えるファイルパスのみをユーザーに表示できます。
最近観測されたキャンペーンでは、FortiClient Compliance Checkerを装い、JavaScriptを利用してWindows Explorerを自動的に開き、被害者を攻撃シーケンスに誘導しました。
ブラウザ機能を悪用したキャッシュスミッシング
この攻撃における重要な革新は、FileFixとキャッシュスミッシングの融合です。キャッシュスミッシングは、ウェブブラウザがCSS、JavaScript、画像ファイルなどの静的アセットを保存する方法を悪用する技術です。攻撃者はHTTP Content-Typeヘッダーを操作することで、ブラウザに実行可能ファイルを含む任意のファイルタイプを、正当な画像ファイルとして偽装してキャッシュさせることができます。
FortiClientキャンペーンでは、悪意のあるJavaScriptがfetch()関数を使用して、実際にはマルウェアを含むZIPアーカイブである偽のJPEGファイルを取得しました。その後、PowerShellペイロードはブラウザのキャッシュディレクトリからZIPファイルを検索し、悪意のあるコードを抽出し、実行します。これらすべては、エンドポイント検出および応答システムやファイアウォンからアラートをトリガーするようなネットワーク接続を一切行いません。
Exifメタデータスミッシングの巧妙さ
研究者たちは、JPEG画像のExifメタデータスミッシングを使用するさらに洗練された亜種を開発しました。Exchangeable Image File Formatは最大64KBのメタデータをサポートし、個々のフィールドがその全スペースを利用できます。テキストパーサーがASCII文字列のヌルバイトを処理する方法を悪用することで、攻撃者は「Image Description」のような標準的なExifフィールド内にペイロードを隠蔽し、画像の有効性を維持しながら、ほとんどのExifパーサーによる検出を回避できます。
この手法は、Exifデータ内の区切りタグ間に暗号化されたペイロードを埋め込み、PowerShellスクリプトが完全なExifパーサーを必要とせずに正規表現を使用して抽出できます。これにより、正常に表示され、表面的な検査に合格する正当なJPEG画像が生成され、秘密裏に悪意のあるコードが運ばれます。ペイロードは復号化されるまでディスク上に生の形で現れることがないため、オンアクセススキャン中のアンチウイルス検出の可能性が大幅に減少します。
セキュリティへの影響と対策
Exifスミッシング技術は、ウェブブラウザだけでなく、電子メールクライアントにも及びます。テストにより、Microsoft Outlookは画像プレビューが無効になっている場合でも、画像添付ファイルを事前にキャッシュしてダウンロードし、Exifメタデータを削除しないことが明らかになりました。これは、攻撃者が特別に作成されたJPEG添付ファイルを含む電子メールを送信するだけで、ターゲットシステムにセカンドステージペイロードを配信できることを意味します。被害者がメッセージを開くことさえなく、攻撃が成立する可能性があります。
この進展は、セキュリティ監視における基本的な前提を覆します。従来の防御策は、悪意のあるスクリプトがペイロードを直接埋め込むか、ウェブ要求を実行してペイロードを取得するかのいずれかを検出することに依存していました。ペイロードが正当なキャッシュメカニズムを通じて事前に密輸される場合、これらの制御は無効になります。この技術はまた、コマンド&コントロール(C2)サーバーを必要としないローダーの作成も可能にし、事前に決定された署名を含むファイルを監視することで、ネットワーク上の侵害の兆候を完全に排除します。
セキュリティベンダーは、セカンドステージペイロードがアクティブなダウンロードではなく、パッシブなキャッシュメカニズムを通じて到着するシナリオに対応するために、検出戦略を適応させる必要があります。組織は、キャッシュされたファイルからメタデータを削除する制御を実装し、ブラウザのキャッシュディレクトリへの異常なアクセスパターンを監視し、ネットワーク接続がない場合でも疑わしいスクリプトアクティビティを特定できる行動分析を展開することを検討すべきです。
脅威アクターが確立されたセキュリティ制御を回避するための革新を続ける中、防御側は効果的な保護を維持するために、従来のネットワークベースの指標を超えて可視性を拡大する必要があります。