概要:進化するSmartApeSGの脅威
「ZPHP」および「HANEYMANEY」としても知られるサイバー攻撃キャンペーン「SmartApeSG」は、その感染手口を絶えず進化させています。最近では、ClickFixスタイルの攻撃ベクトルに移行し、ユーザーを欺いて悪意のあるコマンドを実行させ、最終的にNetSupport RAT(リモートアクセス型トロイの木馬)をシステムに展開していることが確認されました。このRATは、侵害されたWindowsシステムを攻撃者が完全に制御することを可能にします。
2024年6月に初めて確認されたSmartApeSGは、当初は偽のブラウザ更新ページを利用していましたが、より効果的なClickFix技術へと移行しました。これは、攻撃者がソーシャルエンジニアリングの有効性を高め、従来のセキュリティ意識向上トレーニングを回避しようとする継続的な努力を反映しています。
攻撃メカニズムと感染経路
感染は、ユーザーが隠されたスクリプトが埋め込まれた侵害されたウェブサイトを訪問することから始まります。これらのスクリプトは特定の条件下で起動し、正規のセキュリティチェックを模倣した偽のCAPTCHAスタイルの検証ページを表示します。
ユーザーが「人間であることを確認」ボタンをクリックすると、攻撃シーケンスが自動的に開始されます。悪意のあるスクリプトは以下の3つの重要なアクションを実行します。
- 悪意のあるコンテンツをWindowsホストのクリップボードに直接注入します。
- ユーザーにWindowsの「ファイル名を指定して実行」ダイアログを開き、クリップボードの内容を貼り付けて実行するよう指示するポップアップを表示します。
- クリップボードに注入されたコンテンツには、HTMLアプリケーションを実行するWindowsユーティリティである
mshtaコマンドを利用したコマンド文字列が含まれており、リモートから追加の悪意のあるコンテンツを取得して実行します。
このソーシャルエンジニアリングのアプローチは、システムインターフェース要素に対するユーザーの信頼を利用し、正規のウェブサイト操作から発信されているように見えるため、特に効果的です。実行されると、悪意のあるコマンドはNetSupport RATをダウンロードしてインストールします。
マルウェアは、ユーザーのAppData\Local\Tempディレクトリに保存されたJavaScriptファイルを自動的に実行するスタートメニューのショートカットを通じて永続性を確立します。このJavaScriptファイルは、C:\ProgramData以下のサブディレクトリにあるNetSupport RAT実行可能ファイルを起動し、システム再起動後もマルウェアがアクティブな状態を保つようにします。NetSupport RATは、ファイルアクセス、コマンド実行、監視機能など、包括的な制御能力を攻撃者に付与します。
検出と監視の推奨事項
セキュリティアナリストは、専用の脅威インテリジェンス監視を通じてSmartApeSG活動の指標を特定しています。URLscanなどのツールを使用して、悪意のあるスクリプトをホストする侵害されたウェブサイトを特定できます。しかし、このキャンペーンは高度な運用セキュリティ慣行を示しており、攻撃者は時間帯やソースIPアドレスなどの要因に基づいて条件付き実行ロジックを実装しているため、サンドボックス分析や同じネットワークからの繰り返しの感染試行を妨げる可能性があります。
組織は、既知の侵害されたウェブサイトへのアクセスをブロックするために、堅牢なメールフィルタリングとウェブゲートウェイ保護を実装する必要があります。ユーザーのセキュリティ意識向上トレーニングでは、ClickFixスタイルの攻撃と、システムユーティリティを通じて不慣れなコマンドを実行することの危険性について具体的に対処する必要があります。エンドポイント検出および対応(EDR)ソリューションは、疑わしいMSHTAの実行とWindowsシステム上のNetSupport RATの痕跡を監視する必要があります。