Hackers Use ClickFix Technique to Deploy NetSupport RAT Loaders
2025/10/25 gbhackers — ClickFix と呼ばれる手法を用いるサイバー犯罪者たちが、NetSupport リモート管理ツール (RAT:Remote Administration Tool) を悪意の目的で展開するケースが増えている。eSentire – Threat Response Unit (TRU) の最新レポートによると、脅威アクターたちは 2025年を通して、偽のソフトウェア・アップデートから ClickFix による初期アクセス経路へと、主要な配信戦略を移行している。この手法は、正規のリモート・サポート・サービスを悪用して、ユーザーを騙す攻撃者が、システムの制御権を奪うものである。
この攻撃はソーシャル・エンジニアリングを活用して、被害者を ClickFix ページに誘導し、Windows の Run Prompt に悪意のコマンドを貼り付けるよう指示する。
このコマンドを実行すると、多段階を介する感染プロセスが開始される。まず、ローダー・スクリプトが実行され、NetSupport RAT のダウンロード/インストールにいたる。それにより攻撃者は、侵入先のマシンを完全にリモート制御できるようになる。
進化するローダー戦術
eSentire TRU の研究者たちが特定したのは、これらのキャンペーンで使用されている複数の異なるローダー・タイプである。最も蔓延しているのは、PowerShell ベースのローダーであり、Base64 でエンコードされた NetSupport ペイロードを含む JSON ファイルを取得するものだ。
このスクリプトにより、一連のペイロードがデコードされ、隠しディレクトリへの書き込みが行われ、Windows の StartUp フォルダにショートカットが作成される。それにより、永続性が確立され、システムが再起動するたびに RAT が自動的に実行される。
最新の PowerShell ローダー亜種は、RunMRU キーからレジストリ値を削除することで痕跡を隠蔽し、最初のコマンド実行の証拠を効果的に消去する。
あまり一般的ではないが、依然として注目すべき手法として、正規の Windows インストーラー・サービス (msiexec.exe) を介して悪意の MSI パッケージをダウンロード/実行し、最終的に RAT を展開するものもある。これらの進化する戦術が示すのは、検出と分析を回避するために、攻撃者が手法を改良していることである。
脅威アクターの追跡
一連のキャンペーンを分析した研究者たちは、ツールとインフラに基づき、それらの脅威の活動を3つの異なる脅威グループに分類した。
1つ目の EVALUTION キャンペーンはきわめて活発であり、複数の国々の対応する多様なローダーとインフラを使用している。2つ目の FSHGDREE32/SGI クラスターは、東ヨーロッパの防弾ホスティングを利用している。
3つ目の XMLCTL/UAC-0050 は、米国を拠点とする商用ホスティングや MSI ベースのローダーといった別個の運用戦略や異なる手法を使用している。
緩和策
これらの脅威に対抗するために、専門家たちがユーザー組織に推奨するのは、グループ・ポリシーで Run Prompt を無効化し、承認されていないリモート管理ツールをブロックし、従業員向けに効果的なセキュリティ意識向上トレーニングを実施することだ。
ClickFix を悪用する NetSupport RAT の拡散は、正規サービスの悪用と人的操作に起因しています。正規のアップデートやサポート画面を装う攻撃者は、ユーザーに Run Prompt でコマンドを実行させるソーシャル・エンジニアリングを駆使しています。技術的には、PowerShell ベースの Base64 ローダーや MSI を経由したデプロイと、RunMRU の痕跡消去といった手口で持続性と隠蔽を確立しており、初動の人的判断ミスとスクリプト型ローダーの組合せにより、容易に侵害を成功させると、この記事は指摘しています。よろしければ、ClickFix で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.