FileFixは、攻撃手法につけられた名称です。
ClickFixという攻撃手法が広がってきていることが警告されていますが、そのClickFixをアレンジしたような内容となっています。
最近この攻撃手法を使っている攻撃キャンペーンがありました。
内容を見てみましょう。
- FileFixの流れ
攻撃者の用意したWebサイトを閲覧するところから侵害は開始されます。
そして偽のCAPTCHAやエラー画面を使って閲覧者を騙し、問題修正(”Fix”)のためと称して有害コマンドを実行するよう誘導します。
これはClickFixの流れでした。
FileFixでは有害コマンドを実行させる部分が異なります。
ClickFixでは、WindowsキーとRキーを押して「ファイル名を指定して実行」ダイアログを開かせて、そこへクリップボードにコピーされていたコマンドをペーストするように誘導します。
FileFixでは、閲覧者はファイルエクスプローラのアドレスバーにコピーした文字列を貼り付けることで、「ファイルを開く」ように求められます。
この文字列は、コメント構文を使用してファイルパスに見せかけたPowerShellコマンドです。
ファイルエクスプローラのアドレスバーはOSコマンドを実行可能ですので、こういった手法が成り立ちます。 - 感染後の活動
FileFixで送り込まれるのは、PHP版のInterlock RATです。
このマルウェアはさまざまな要素の活動を展開します。
Active Directory の列挙、バックアップの確認、ローカル ディレクトリの移動、ドメイン コントローラーの調査などの対話型アクティビティの実施。
そしてC2からの指示によって、シェルコマンドの実行、追加のペイロードの投入、永続性の確保、RDPの悪用による横展開、なども実施されてしまいます。
「ファイル名を指定して実行」を使った指示よりも、ファイルエクスプローラを使った操作指示のほうがより自然ということでしょうか。
違和感を感じる可能性が良い低くなった攻撃手法となっています。
このFileFix手法そのものはもともとセキュリティ研究者が研究成果としてPoCを公開したものですが、最近この手法を実際に悪用した攻撃活動が確認されました。
いまはまだ出始めといったところですが、今後FileFixを選択する脅威活動は広がっていってしまうことが懸念されます。
FileFix、警戒が必要です。
KongTuke FileFix Leads to New Interlock RAT Variant
https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/
| この記事をシェア |
|
|---|
