「ClickFix」技術を悪用しNetSupport RATを拡散するハッカー
サイバー犯罪者たちは、悪意のある目的でNetSupportリモート管理ツール(RAT)を展開するために、「ClickFix」として知られる技術をますます利用しています。eSentireの脅威対応ユニット(TRU)による新しいレポートによると、脅威アクターは2025年を通じて、偽のソフトウェアアップデートからClickFixを初期アクセスベクターとする主要な配信戦略に移行しました。
この手法は、正規のリモートサポートサービスを悪用し、ユーザーを騙して攻撃者にシステム制御を許可させます。攻撃はソーシャルエンジニアリングを利用しており、被害者はClickFixページに誘導され、悪意のあるコマンドをWindowsの「ファイル名を指定して実行」プロンプトに貼り付けるよう指示されます。このコマンドを実行すると、ローダースクリプトから始まる多段階の感染プロセスがトリガーされ、NetSupport RATがダウンロードおよびインストールされ、攻撃者は侵害されたマシンを完全にリモート制御できるようになります。
進化するローダー戦術
TRUの研究者たちは、これらのキャンペーンで使用されるいくつかの異なるローダータイプを特定しました。最も普及しているのは、Base64でエンコードされたNetSupportペイロードを含むJSONファイルをフェッチするPowerShellベースのローダーです。このスクリプトはペイロードをデコードし、隠しディレクトリに書き込み、Windowsのスタートアップフォルダにショートカットを作成することで永続性を確立します。これにより、システムが再起動するたびにRATが自動的に実行されるようになります。
PowerShellローダーのより新しい亜種は、RunMRUキーからレジストリ値を削除することで痕跡を隠蔽しようとします。これにより、初期コマンド実行の証拠が効果的に消去されます。あまり一般的ではありませんが、注目すべき別の方法として、正規のWindowsインストーラーサービス(msiexec.exe)を使用して、最終的にRATを展開する悪意のあるMSIパッケージをダウンロードおよび実行するケースがあります。これらの進化する戦術は、攻撃者が検出と分析を回避するために積極的に手法を洗練していることを示しています。
脅威アクターの追跡
キャンペーンの分析により、研究者たちは活動をツールとインフラに基づいて3つの異なる脅威グループに分類することができました。
- 「EVALUSION」キャンペーンと呼ばれる最初のグループは、非常に活発で、多国籍にわたる多種多様なローダーとインフラを使用しています。
- 「FSHGDREE32/SGI」クラスターは、主に東ヨーロッパの防弾ホスティングを利用しています。
- 「XMLCTL」またはUAC-0050として追跡されている3番目の独立したアクターは、MSIベースのローダーや米国の商用ホスティングなど、異なる技術を使用しており、異なる運用戦略を示唆しています。
推奨事項
これらの脅威に対抗するため、専門家は組織に対し、グループポリシーを介して「ファイル名を指定して実行」プロンプトを無効にし、未承認のリモート管理ツールをブロックし、従業員向けの堅牢なセキュリティ意識向上トレーニングを実施することを推奨しています。