Source:https://thehackernews.com/2025/11/new-evalusion-clickfix-campaign.html
🛡 概要
今月観測されたClickFix系の誘導型フィッシングで、Amatera StealerとNetSupport RATが連鎖的に配布される事案が報告されています。eSentireは本活動を「EVALUSION」と命名。Amateraは2025年6月に初出が確認された新しい情報窃取型で、旧来のACR(AcridRain)Stealerの発展系と評価されています。攻撃はWindowsの「ファイル名を指定して実行(Win+R)」にコマンドを入力させるソーシャルエンジニアリングを起点に、mshta→PowerShell→.NETローダ→DLL注入→情報窃取→NetSupport RAT展開へと進みます。本件は脆弱性悪用ではなく、CVSSの直接適用はありません。
🔍 技術詳細
典型的なClickFixでは、偽のCAPTCHAやCloudflare Turnstile風の検証画面で「コピーして実行」させるコマンドが提示されます。ユーザーがRunダイアログに貼り付けると、LOLBinsであるmshta.exeが起動し、埋め込まれたスクリプトからPowerShellを呼び出します。PowerShellはMediaFire等のファイルホスティングから.NETローダを取得し、PureCrypterでパックされたAmatera StealerのDLLを展開。次にMSBuild.exe(開発用正規ツール)へDLLインジェクションして実行を委譲し、正規署名ツールの信頼を悪用して検出回避します。Amateraはブラウザ、メッセージング、FTP、メールクライアント、暗号資産ウォレットから認証情報やトークン等の機密データを収集し、C2へ送信します。さらにC2からPowerShellコマンドを受け、追加ペイロードとしてNetSupport RATをダウンロード・実行します。ただし、スクリプトはドメイン参加状態や価値の高いファイル(例:ウォレット)有無を判定し、条件を満たさなければNetSupportの展開をスキップします。AmateraはWoW64 SysCallsやユーザーモードフック回避など高度な回避手法を用いるとされ、EDRやサンドボックスのフックを迂回します。なおAmateraはサブスクリプション型MaaS(例:月$199〜年$1,499)で流通している旨が報告されています。
並行して、VBS添付(請求書偽装)からバッチ→PowerShellでXWormを落とす手口、改ざんサイトに挿入した悪性JavaScriptから偽のClickFixページ(Cloudflare検証偽装)へリダイレクトしてNetSupportを配布するSmartApeSG(別名HANEYMANEY/ZPHP)、偽Booking.comや社内通知を装うメールで資格情報を盗むフィッシング(Tycoon 2FAやCephasキット利用)など、複数系統の誘導も確認されています。Cephasは不可視文字を混入させる独特な難読化で静的検出を回避する点が特徴です。
⚠ 影響
認証情報、セッショントークン、ウォレット、メール・FTP資格情報の漏えいに加え、NetSupport RATによるリモート操作・横展開の足掛かり化が懸念されます。条件分岐により「価値がある対象」を選別して侵害コストを最適化しているため、業務ネットワークや開発端末が優先的に狙われる可能性があります。
🛠 対策
- 実行制御:AppLocker/WDACでmshta.exe・MSBuild.exeのユーザー環境での実行を制限。PowerShellはConstrainedLanguageMode、Script Block Logging(4104)、Module Logging(4103)、転記(Transcription)を有効化。
- ASR/EDR:Microsoft Defender ASRで「メール/ウェブ由来の実行制限」「Office子プロセス生成のブロック」等を有効化。EDRでLOLBins連鎖(mshta→powershell→msbuild)を検知・遮断。
- メール/WEB保護:CIS v8 Control 9に沿い、VBS/JS/バッチ添付の隔離、URL再書き換え、リンク先動的分析を実施。偽CAPTCHA/ClickFix教育を強化(クリップボードで渡されたコマンドの実行禁止)。
- ネットワーク:ファイル共有/パスティングサイト(例:MediaFire等)への外向き通信をプロキシで制限。DNSフィルタやTLSインスペクションで不審ダウンロードを制御。
- 資格情報保護:ブラウザ保存パスワードの企業端末での利用禁止、パスワードマネージャ導入、ハードニング(LSA保護、有効な場合はWindows Credential Guard)。
- 監査と応答:疑わしい操作時は即時アイソレーション、セッション無効化、強制パスワードリセット、トークン失効を実施。
📌 SOC視点
- プロセス生成:Security 4688 / Sysmon 1 で mshta.exe → powershell.exe → MSBuild.exe の親子関係を検出。コマンドラインに「FromClipboard」「-enc」「IEX」「DownloadString」「mshta http/https」等の指標。
- PowerShell:Event ID 4104(ScriptBlock)でWebダウンロード/Invoke-Expression/Net.WebClient/Invoke-WebRequestの使用を検知。AMSIヒットの相関。
- ネットワーク:Sysmon 3/Windows FWログでMediaFire等への直後の外向き接続、MSBuild.exeやPowerShellによる外向き通信の異常検出。DNS(Sysmon 22)で短時間に新規ドメイン照会が連続する事象。
- ファイル/メモリ:Sysmon 7(ImageLoad)でMSBuild.exeへの不審DLL読み込み、Sysmon 10(ProcessAccess)でインジェクション挙動の兆候。
- RAT特性:NetSupport展開後の持続的HTTP(S)ビーコン、ファイル転送・リモート制御イベント、ユーザー領域への自己配置を監視。既知のNetSupport管理ポート/パス/サービス名の例外的出現に注意。
📈 MITRE ATT&CK
本件は主に以下の戦術・技法に該当します(詳細は下欄参照)。初期侵入(フィッシング/偽検証)、実行(ユーザー実行/PowerShell)、防御回避(mshta・MSBuild悪用/難読化/フック回避)、認証情報アクセス(ブラウザ/ウォレット)、発見(ドメイン参加確認)、コマンド&コントロール(外部転送)、窃取&流出(C2経由)、リモートアクセスソフトの導入。
🏢 組織規模別助言
- 〜50名:EDR/NGAVで標準ポリシーを適用、mshta・MSBuildを明示ブロック。メールゲートウェイでVBS/JS/バッチ拒否。ユーザー教育で「Runに貼り付ける指示は実行しない」を徹底。
- 50〜500名:プロキシでファイル共有サイトをカテゴリブロック、PowerShell監視を集中(4104/4688相関)。重要端末へWDAC適用を段階展開。SOARで隔離・証跡収集を自動化。
- 500名以上:ゼロトラストegress制御(許可リスト方式)、EDRでLOLBins連鎖の行動分析ルールを自前チューニング。ハントでMSBuildのネットワーク通信を横断検査し、異常な開発ツール使用を可視化。
🔎 類似事例
- SmartApeSG(別名HANEYMANEY/ZPHP):改ざんサイト→偽Cloudflare検証→NetSupport RAT。
- VBS添付(請求書偽装)→バッチ→PowerShellでXWormを投下するキャンペーン。
- 偽Booking.com・社内メール配送通知を装うClickFixでPowerShellを実行し情報窃取。
- Tycoon 2FAやCephasキット:2要素回避や不可視文字難読化で資格情報を奪取。
- PureCrypterを介した各種スティーラー/RATの拡散(MaaS)。
- ACR(AcridRain)Stealerの流通停止後の派生系台頭。
🧭 次の一手
まず自組織でmshta.exe・MSBuild.exeの使用可否を棚卸しし、許可されない環境ではWDAC/AppLockerで即日ブロックを実装。次に、PowerShell 4104/4688/AMSIをSOCダッシュボードに可視化し、親子関係(mshta→powershell→msbuild)の検知ルールを導入。最後に、従業員向けに「Runダイアログへコマンドを貼り付けさせる偽検証」は即報告・未実行を徹底する短時間トレーニングを実施してください。
