概要
サイバーセキュリティニュースサイトGBHackersによると、ランサムウェア攻撃者であるLeakNetは、ClickFixの罠とStealthy Denoローダーを使用して、その攻撃を強化しています。この新しい手法により、LeakNetは月に約3件の被害者を獲得しており、今後さらに増加すると予想されています。
ClickFixの罠
LeakNetは、ユーザーが攻撃者のコマンドを実行するように誘導するClickFixの罠を使用しています。これらの罠は、信頼できるウェブサイトでホストされ、ユーザーが誤って攻撃者のインフラに接続するよう指示します。
Stealthy Denoローダー
ClickFixの罠から始まり、その後Denoベースのローダーが実行されます。このローダーは、JavaScriptやTypeScriptを直接メモリ内で実行し、ディスク上に痕跡を残さないよう設計されています。
後方展開のプレイブック
LeakNetはDLLサイドローディングを使用して、攻撃を開始します。その後、コマンド&コントロール(C2)通信を行い、PsExecを使用した側面移動に進みます。
検出のための信号
- msiexec コマンドがブラウザやWin-Rダイアログから生成される場合
- Denoがbase64データURLを実行するか、開発マシン以外で実行される場合
- java.exeがC:\ProgramData\USOSharedにtrojanized jli.dllをロードする場合
- 非管理者アカウントからPsExecを使用した異常な使用が見られる場合
- S3バケットへの予期しない外部接続がある場合