【要約】Clickfix social engineering now being used by Russia's most elite hackers [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
ロシアのハッカー集団Sandwormが、ウクライナの重要組織を標的に、従来の防御策を回避する攻撃を展開している。彼らはユーザーの心理的な隙を突き、Webセキュリティの境界を突破しようとしている。
- ・偽のCAPTCHAを提示し、ユーザーに「人間である証明」としてコマンド入力を促す。
- ・ユーザー自身がターミナルにスクリプトを貼り付けるため、ブラウザの保護機能が機能しない。
- ・一度実行されると、偵察からバックドア設置までの一連のプロセスが自動化される。
// Approach
攻撃者はWebサイトを改ざんし、巧妙な多段階のマルウェア感染プロセスを構築している。まず、訪問者に対して動的に偽のCAPTCHAを表示し、特定のコマンド実行を誘導する。
- ・
SMARTAXEを用い、訪問者ごとにWebページのコンテンツを動的に書き換える。 - ・Ethereumのスマートコントラクト(
eth_call)から、攻撃用ドメインを動的に取得する。 - ・
SCOUTCURL等のツールを用い、端末内のファイルやブラウザデータを収集する。 - ・
FreakyPollなどのカスタムマルウェアにより、端末にバックドアを設置する。
// Result
この攻撃により、複数の組織において端末の侵害と機密データの流出が発生した。Sandwormは、標的の重要度に応じて攻撃の強度を使い分けている。
- ・少なくとも10件の改ざんされたWebサイトが確認された。
- ・
FreakyPoll等のマルウェアにより、端末へのバックドア設置が成功した。 - ・重要度の高い端末には、さらなる高度なマルウェアが送り込まれる仕組みとなっている。
Senior Engineer Insight
> ブラウザのサンドボックスを完全に無効化する、極めて実戦的な攻撃手法だ。攻撃の起点が「ユーザーによる手動実行」にあるため、従来のWebフィルタリングでは防げない。防御側は、端末上での不審なPowerShell実行や、ターミナル操作の監視を強化すべきだ。エンドポイントでの振る舞い検知(EDR)の重要性が、改めて浮き彫りになっている。