概要
2026年3月24日、SmartApeSGが展開した最近のキャンペーンでは、ClickFix技術を使用して複数のリモートアクセストロイansomware(RAT)と情報窃取マルウェアを配布しています。この攻撃チェーンは、被害者が正当なWebサイトから偽のCAPTCHAページにリダイレクトされ、クリップボードにコピーしたスクリプトを手動で実行することで開始されます。
マルウェアファミリーの展開
このキャンペーンでは、Remcos RAT、NetSupport RAT、StealC、Sectop RAT(ArechClient2)などのマルウェアが連携して使用されています。これらのマルウェアは、一連のステージを経て遅延的に展開され、攻撃者が長期的なアクセスを維持するための一貫性を持っています。
感染チェーンのタイムライン
- 17:11 UTC: ユーザーがClickFixスクリプトを実行します。
- 17:12 UTC: Remcos RATのコマンドアンドコントロール(C2)トラフィックが始まります。
- 17:16 UTC: NetSupport RATの活動が開始します。
- 18:18 UTC: StealCマルウェアのトラフィックが現れます。
- 19:36 UTC: Sectop RATのトラフィックが始まります。
これらの遅延的な展開は、検出を避けるとともに長期的なアクセスを維持するための一貫性を持っています。
攻撃手法と防御策
このキャンペーンではDLLサイドローディングという技術が使用されており、正当な実行ファイルを使用して悪意のあるDLLを読み込みます。これによりセキュリティ制御をバイパスしやすくなります。
防御策
攻撃者は単一のペイロード感染からモジュール化された、時間遅延型の攻撃チェーンに移行しています。初期のインフェクションを検出した後も監視を続けることが重要です。
- ネットワークトラフィック分析
- 行動ベースの検出
- 遅延イベントの相関分析
組織はスクリプトベースの実行をユーザーコンテキストからブロックし、異常なアウトバウンド接続やDLLサイドローディングの検出に注力することで、このような脅威に対抗することができます。