ハッカーが新たな攻撃手法「ClickFix」を用い、Windowsユーザーを標的としたフィッシングキャンペーンを展開している。この攻撃は偽のエラーメッセージを利用し、被害者自身にPowerShellコマンドを実行させることで感染を拡大させる。

最終的にHavocフレームワークの改変版が導入され、システム情報の窃取やリモート操作が可能となる。Microsoft Graph APIとSharePointを悪用することで、通常のネットワークトラフィックに紛れ込み検出を回避。企業や個人が狙われるリスクが高まっている。

「ClickFix」手法の仕組みと攻撃の流れ

ハッカーが使用する「ClickFix」手法は、従来のフィッシング攻撃とは異なり、被害者自身にマルウェアの実行を促す点が特徴的である。攻撃の第一段階は、フィッシングメールの送信から始まる。攻撃者は、受信者に緊急の文書通知を装ったHTMLファイル「Documents.html」を開かせる。

このファイルを開くと、偽のエラーメッセージが表示され、ユーザーは自身でPowerShellコマンドをコピーし、手動で実行するよう誘導される。この手法が巧妙なのは、従来のマルウェアのように不審なファイルのダウンロードや実行を必要としない点にある。ユーザーがシステムのトラブルを解決しようとする心理を突き、攻撃を成立させる。

PowerShellコマンドを実行すると、SharePointのURLからマルウェアのスクリプト「payload_20250112_074319.ps1」がダウンロードされ、環境の解析を行った後、Pythonのローダー「payload_20250107_015913.py」が実行される。このPythonローダーは、シェルコードを展開し、メモリ上でHavocのカスタマイズ版を起動させる。

Havocは、オープンソースのポストエクスプロイトフレームワークであり、Cobalt Strikeと同様に、攻撃者がシステムを遠隔操作するために使用される。今回の攻撃では、SharePointをC2インフラとして利用することで、正規のMicrosoft Graph APIトラフィックに紛れ込み、検出を回避する戦略が取られている。これにより、通常のネットワーク監視では不審な活動を見抜くことが難しくなっている。

クラウドを悪用したHavocの遠隔操作とその影響

攻撃の最終段階では、HavocフレームワークがWindowsマシンに常駐し、攻撃者に対する遠隔操作を可能にする。Havocの通信は、Microsoft Graph API経由で行われ、悪意のあるトラフィックを正規のクラウド通信に偽装する仕組みとなっている。この技術により、企業のセキュリティ対策を回避しやすくなっており、一般的なネットワーク監視ツールでは検出が困難になる。

攻撃者は、感染したシステムに対してSharePointのドキュメントライブラリを活用し、暗号化されたコマンドのやり取りを行う。例えば、感染端末からは「{VictimID}pD9-tKout」というファイルが作成され、システムのメタデータ(ホスト名、IPアドレス、OS情報など)が暗号化されて保存される。

攻撃者はこのデータを回収し、次に実行するコマンドを「{VictimID}pD9-tKin」にアップロードする。マルウェアは、このファイルを定期的に監視し、指示されたコマンドを実行後、ログを削除する。この攻撃の影響は深刻で、感染したシステムは完全に遠隔操作される可能性がある。

Havocは、ファイルの窃取、権限昇格、ネットワーク内でのラテラルムーブメント(横展開)、さらにはKerberosチケットの操作までをサポートしており、企業ネットワーク全体が乗っ取られるリスクがある。攻撃が成功すれば、機密情報の漏洩やランサムウェアの展開など、さらなる被害へと発展する恐れがある。

なぜ「ClickFix」攻撃は危険なのか 今後の対策と注意点

「ClickFix」攻撃が特に危険なのは、従来のマルウェア対策では防ぐことが難しい点にある。一般的なウイルス対策ソフトは、ファイルベースのマルウェアや既知の脅威のシグネチャを元に検出を行うが、今回の手法はユーザーの手によってコードが直接実行されるため、シグネチャベースの防御では検知できないケースが多い。

さらに、Havocが使用する通信技術は、正規のクラウドサービスを経由しているため、ネットワーク監視でも不審な通信を特定しづらい。Fortinetは、この攻撃への対策としていくつかのシグネチャを発表しており、特にHTMLファイルやPowerShellスクリプトに対する検知機能を強化している。

しかし、企業や個人が取るべき対策はそれだけではない。まず、PowerShellの実行制限を強化することが重要である。特に、管理者権限なしではPowerShellを実行できないように設定することで、攻撃の初期段階を防ぐことが可能となる。

また、ユーザー教育も不可欠である。「ClickFix」手法のように、被害者自身にコマンドを入力させる攻撃は、認識が広がれば防ぐことが可能なケースも多い。特に「エラーメッセージを見て指示通りにコマンドを入力する」という行動がいかに危険かを周知することで、被害の拡大を抑えられるだろう。

今回の攻撃は、オープンソースツールの悪用とクラウドの利用により、セキュリティ対策の盲点を突いたものである。このような新しい手法に対抗するためには、従来のファイルベースのセキュリティ対策だけでなく、クラウド環境の監視や振る舞い検知を導入することが不可欠となるだろう。

Source:Cyber Security News