-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
7月15日:サイバーセキュリティ関連ニュース
InterlockランサムウェアがFileFix手法を採用
BleepingComputer – July 14, 2025
悪意あるアクターから人気のソーシャルエンジニアリング手法「ClickFix」の発展版である「FileFix」が、Interlockランサムウェアによる実際の攻撃で取り入れられ始めたという。FileFixはセキュリティ研究者mr.d0x氏によって考案され、6月末に同氏のブログ記事で詳細が公表されていた。
最近よく知られるようになったClickFixは、「CAPTCHA検証のため」「エラー解消のため」などと称してユーザーを欺き、有害コマンドを実行させる手法。Sekoia Threat Detection & Research(TDR)チームは、Interlockランサムウェアが今年1月に試験的にClickFixの手法を使っていたことを観測しており、その際はCloudflareのCAPTCHAを装う偽ページによって、ユーザーを悪意あるPowerShellコマンドをコピー・実行するよう誘導していたという。
またThe DFIR ReportとProofpointは7月14日公開のレポートにおいて、今年5月からInterlockのリモートアクセス型トロイの木馬「Interlock RAT」と関連するアクティビティでClickFixの手法が使われていたことを報告。この攻撃は「LandUpdate808(KongTuke)」というWebインジェクターでWebサイトへ注入されたスクリプトによってClickFixのステップを開始させ、偽のCAPTCHAでPowerShellスクリプトを実行させて、最終的にInterlock RATを投下するものだったという。なおこのRATにはNode.js版とPHP版が存在することがわかっている。
DFIR Reportは最近、これと同じKongTukeによるWebインジェクト攻撃でFileFixの手法が取り入れ始めたのを観測。FileFixは前述の研究者により考案されたClickFixの亜種で、ファイルエクスプローラーやHTMLアプリケーション(.HTA)など信頼されたWindows UIの要素を武器化し、セキュリティ警告を表示させることなくユーザーを騙して有害なPowerShellまたはJavaScriptコードを実行するよう仕向ける。DFIR Reportが観測したInterlockの攻撃事例は、ターゲットユーザーを欺いて「ファイルパス」に見せかけたコマンドをファイルエクスプローラーのアドレスバーへペーストさせることで、最終的にPHP版のInterlock RATを「trycloudflare[.]com」からダウンロード・実行するというものだった。
感染後、同RATは一連のPowerShellコマンドを実行してシステムおよびネットワーク情報の収集や抽出を試みるほか、Active Directoryの列挙、バックアップのチェック、ローカルディレクトリのナビゲート、ドメインコントローラーのテストといったインタラクティブな活動が行われた形跡も見つかっているという。
Interlockは2024年9月に始動したランサムウェアグループで、ClickFixを今年頭から使い始めたり、最近ではFileFixの手法も採用するなど、攻撃手法の調整をすばやく行っているであろうことが伺える。なお、FileFixが実際のサイバー攻撃で使われているのが公に確認されたのは今回が初めてだが、今後同手法がその他の脅威アクターの間でも人気を集めるようになる可能性は高いとのこと。
Cursorにインストールされた悪性VSCode拡張機能により、暗号資産50万ドル相当が盗まれる
BleepingComputer – July 14, 2025
AI機能搭載のコードエディター「Cursor」向けの偽拡張機能により、ある暗号開発者のデバイスがリモートアクセスツールとインフォスティーラーに感染し、最終的に50万ドル相当の暗号資産が盗み取られた事例が報告されている。
Cursor はマイクロソフトのVisual Studio Codeを基にしたAI駆動型の開発環境で、Visual Studio Marketplaceの代替版マーケットプレイスであるOpen VSXからVSCodeと互換性のある拡張機能を入手できるようになっている。
カスペルスキーによれば、同社はロシアの暗号資産系開発者が自身のPCから50万ドル相当の暗号資産を盗み取られたセキュリティインシデントの調査を依頼され、当該PCのハードドライブの画像を分析したところ、「.cursor/extensions」というディレクトリ内に「extension.js」と名付けられた有害なJavaScriptファイルがあるのを発見したという。
この拡張機能は、「Solidity Language」という名前でOpen VSXに公開されていたもの。Open VSX上では5,400回ダウンロードされた旨が記されていたが、カスペルスキーはこれについて攻撃者が本物らしく見せるため人工的に増やした数字だと指摘している。イーサリアムのスマートコントラクト作成に使えるシンタックスハイライトツールを謳う同拡張機能は、正規のシンタックスハイライト拡張機能「Solidity」を模倣していたものの、実際にはリモートのホスト(angelic[.]su)のPowerShellスクリプトを実行し、追加の有害ペイロードをダウンロードする性能を持っていたという。
このリモートのPowerShellスクリプトはデバイスにリモートマネジメントツールScreenConnectがインストールされているかどうかをチェックし、されていない場合は別のスクリプトを実行して同ツールをインストールする。カスペルスキーが報告したケースではその後、攻撃者がScreenConnectを使って開発者のPCへリモートアクセスし、いくつかのVBScriptを実行してさらなるペイロードをダウンロード。最後のスクリプトにより、「VMDetector」というローダーを含む実行ファイルがダウンロードされ、同ローダーがQuasar RATとPureLogsスティーラーをインストールしたのだという。これにより、暗号資産が盗み取られることになった。
問題の拡張機能Solidity Languageは7月2日に取り下げられたものの、攻撃者は数日後に「solidity」という名前のほぼ同じ悪性拡張機能を公開し、インストール数が200万回近くあるように見えるよう操作していたという。カスペルスキーによれば、インストール数の操作に加え、攻撃者はアルゴリズムの操作によりOpen VSX上での検索結果画面で自身の悪性拡張機能を正規のものより上位にランクインさせる能力も備えていたとされる。これにより、今回の被害者もSolidity Languageが本物であると思い込んでインストールするに至っている。
カスペルスキーの研究者らはさらに、Visual Studio Codeにおいても似たような拡張機能「solaibot」、「among-eth」、「blankebesxstnion」が公開されているのを発見。これらもまた、PowerShellスクリプトの実行によりScreenConnectとインフォスティーラーをインストールするものだったという。同社は開発者に対し、オープンリポジトリはマルウェア感染の一般的なソースとなり始めていることを踏まえ、パッケージや拡張機能のダウンロード時には十分に注意を払うよう推奨している。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
