ClickFixは、攻撃手法の名称です。
攻撃者が提供するコンテンツをWebブラウザで表示すると、画面にはエラーが表示されます。
このエラーは、実際にはエラーではなく、攻撃者が意図的に発生させた偽エラーのようなものです。
そして、攻撃者はこれを修正する方法を画面に表示するのですが、この指示に従って操作するとマルウェアに感染してしまうという手法です。
ClickしてFixしようとしたらマルウェアに感染する、というわけです。
以前から確認されている手法です。
このClickFixの新たなキャンペーンが確認されています。
- フィッシングメールが届く
入口はフィッシングメールです。
メールを閲覧すると、簡単な説明と緊急の口調で、受信者に添付ファイルをすぐに開くよう促します。
事務的な雰囲気で疑いを起こしにくくする方向の工夫なのでしょうか。 - HTMLドキュメント
開かされる添付ファイルの形式はHTMLドキュメントです。
このファイルの内容は、偽のエラーメッセージと指示をHTMLに埋め込んだものになっています。
これが、ユーザーを騙して悪意のあるPowerShellコマンドをターミナルまたはPowerShellにコピーして貼り付けさせ、最終的に悪意のあるコードを実行するClickFix攻撃を実現する内容になっています。
この時点でブラウザには、偽の0x8004de86というタイトルのエラーダイアログが表示され、「「One Drive」クラウドサービスへの接続に失敗しました」と表示され、ユーザーはDNSキャッシュを手動で更新してエラーを修正する必要があることが示されます。
いかにもな画面です。 - How to fixボタン
偽のエラー画面には修正方法を表示するボタンが置かれています。
即時に何かを実行すると見えないことで、このボタンをクリックさせやすくするという作戦でしょうか。
このボタンをクリックすると、画面は修正方法の指示に変化します。
しかし、実際にはそれだけでなく、その時点ですでに端末のクリップボードには攻撃のための文字列がコピーされた状態に仕上がっています。 - 修正方法の指示に従う
指示は、WindowsボタンとXキーを同時に押し、ターミナルを起動してコピーしたものを張り付けてエンターキーを押しましょうというものです。
これに従うと、攻撃者の用意した攻撃コマンドが実行されます。 - マルウェア設置開始
攻撃コマンドはSharePointサーバからPowerShellスクリプトをダウンロードして起動します。
動作を開始したスクリプトは、実行環境がマルウェアの検査のために実行されたものであるかを判定します。
通常環境であると判定されると、処理は継続です。
以降の攻撃内容に必要なPythonの実行環境が環境にあるかを確認し、なければダウンロードして設置します。
そして、今度はPythonスクリプトをダウンロードします。
そして、これが環境にHavocを設置します。 - Havocで自由に活動を開始
HavocはCobaltStrikeに似たオープンソースのポストエクスプロイトフレームワークで、攻撃者が侵害されたデバイスをリモートで制御できるようにします。
設置されたHavocによる機構は、攻撃者のC2通信を正規のトラフィックに紛れ込ませる作用を発生します。
今回のキャンペーンでは、Microsoft Graph上のSharePoint APIの利用を隠れ蓑にしています。
今回のキャンペーンに限らず、ClickFixは広がってきています。
設置行為が開始されてしまうと、攻撃者はなんでも実行できます。
PCの正規の利用者にマルウェアのインストール操作を実施させているのですから、これはそうなります。
ちょっとした不注意だと感じるかもしれませんが、その結果として、インフォスティーラー、DarkGate、リモートアクセス型トロイの木馬などのさまざまなマルウェアを展開されることとなってしまいます。
どのような手法があるのかを知り、引っ掛からないように理論武装していきたいですね。
Havoc: SharePoint with Microsoft Graph API turns into FUD C2
https://www.fortinet.com/blog/threat-research/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2
| この記事をシェア |
|
|---|
