ウクライナ支援組織を狙ったファントムCAPTCHA ClickFix攻撃
2025年10月8日、ウクライナの地域政府機関および国際赤十字委員会、ユニセフ、様々なNGOを含むウクライナの戦時救援活動に不可欠な組織を標的としたスピアフィッシング攻撃が1日限りで展開されました。この攻撃は「ファントムCAPTCHA」と名付けられ、被害者を騙してClickFix攻撃で使用されるコマンドを実行させ、WebSocketリモートアクセス型トロイの木馬(RAT)をインストールさせようとしました。SentinelOneの脅威研究部門であるSentinelLABSによると、このキャンペーンは10月8日に開始され、同日中に終了しましたが、攻撃者は必要なインフラを構築するために多大な時間と労力を費やしており、一部のドメインは3月末に登録されていました。
「私はロボットではありません」ClickFix攻撃の手口
攻撃は、ウクライナ大統領府を装った電子メールから始まりました。これらのメールには、Zoom(zoomconference[.]app)を装ったドメインへのリンクを含む悪意のあるPDF添付ファイルが含まれていました。偽のZoom会議リンクをクリックすると、訪問者は通信プラットフォームにリダイレクトされる前に、自動ブラウザチェックプロセスが表示されました。この段階で、クライアント識別子が生成され、WebSocket接続を介して攻撃者のサーバーに渡されます。
SentinelLABSの分析によると、「WebSocketサーバーが一致する識別子で応答した場合、被害者のブラウザは正当なパスワード保護されたZoom会議にリダイレクトされた」とのことです。これは、脅威アクターが被害者とライブでソーシャルエンジニアリングの通話を行う可能性があったことを示唆しています。クライアントIDが一致しない場合、訪問者は別のセキュリティチェックを通過し、自分が人間であることを証明する必要がありました。彼らは、ウクライナ語の指示に従って「トークン」をコピーするボタンを押し、それをWindowsコマンドプロンプトに貼り付けることで、偽のCAPTCHA認証を完了させることができました。
マルウェアの展開と機能
このコピー&ペースト操作は、悪意のあるスクリプト(cptch)をダウンロードして実行するPowerShellコマンドを実行するものでした。このスクリプトは、偵察およびシステムプロファイラユーティリティである第2段階のペイロードを配信します。このツールは、コンピュータ名、ドメイン情報、ユーザー名、プロセスID、システムUUIDなどのシステムデータを収集し、コマンド&コントロール(C2)サーバーに送信します。
最終的なペイロードは、軽量なWebSocket RATであり、リモートコマンド実行とbase64エンコードされたJSONコマンドを介したデータ流出が可能です。
関連する攻撃と帰属
研究者たちは、この短期間のキャンペーンが、ウクライナのリヴィウのユーザーを標的としたその後の作戦と関連していることを発見しました。この作戦では、アダルトテーマのAndroid APKやクラウドストレージツールが使用され、これらは被害者のリアルタイム位置情報、通話履歴、連絡先リスト、画像を監視し、攻撃者に流出させるスパイウェアとして機能しました。
SentinelLABSは「私はロボットではありません」ClickFix攻撃の帰属を特定していませんが、研究者たちはWebSocket RATがロシアのインフラでホストされていたこと、そしてアダルトテーマのキャンペーンがロシア/ベラルーシのソース開発に関連している可能性があると指摘しています。さらに、Google脅威インテリジェンスグループ(GTIG)の報告書では、ColdRiver(別名Star Blizzard、UNC4057、Callisto)に帰属する攻撃で使用された同様の悪意のある「私はロボットではありません」CAPTCHAチャレンジについて記述されており、この脅威グループはロシアの情報機関(FSB)に帰属しています。GTIGは、研究者がColdRiverが展開した古いツールを公に開示した後、ハッカーが新しいマルウェアファミリーを迅速に運用化したことを強調しています。
セキュリティ対策の重要性
このような巧妙なスピアフィッシング攻撃から身を守るためには、不審なメールや添付ファイルには細心の注意を払い、安易にリンクをクリックしたり、指示されたコマンドを実行したりしないことが極めて重要です。特に、身元不明の送信元からの要求や、通常とは異なる認証プロセスには警戒が必要です。組織は、従業員へのセキュリティ意識向上トレーニングを定期的に実施し、多要素認証の導入や最新のセキュリティソフトウェアの利用を徹底することで、サイバー攻撃のリスクを軽減することができます。