○ Genians Security Center(GSC)は、2025年上半期から始まったKimsukyグループの「ClickFix」攻撃戦術の活動を捉えました。Kimsukyグループに属する脅威アクターは、「ClickFix」と知られた攻撃戦術を応用しました。「ClickFix」は、2024年4月にアメリカのセキュリティ企業であるProofpointの研究者によって初めて紹介され、レポート「From Clipboard to Compromise: A PowerShell Self-Pwn」を通じて知られました。
○ 当時の事例は特定のユーザが侵害されたウェブサイトにアクセスした際に、あたかもGoogle Chromeで出力されたかのような偽エラーメッセージが表示されています。そして、間違ったブラウザのアップデートを修正する必要があるとユーザをだまします。この時、該当メッセージに騙されて手動でコードをコピーした後、PowerShellコンソールに貼り付けて実行する場合、悪性行為が作動する方式です。
○ 一方、2024年10月、フランスのサイバーセキュリティ企業Sekoiaの研究者たちは「ClickFix tactic: The Phantom Meet」と題するレポートを発表しました。続いて、2025年4月、Proofpointは追加で「Around the World in 90 Days: State-Sponsored Actors Try ClickFix」と題するレポートを発表し、北朝鮮、イラン、ロシアの脅威アクターたちがClickFix技術を使用していることが目撃されたことを明らかにしました。
○ 結局、「ClickFix」は、ユーザが脅威を疑ったり、認識できず、提示された虚偽のメッセージにだまされ、段階的に悪性コマンドを実行する心理的撹乱戦術と見なすことができます。したがって、このような被害を防ぐためには、実際の事例を覚え、セキュリティ教育に引き続き注意を払い、努力しなければなりません。そして、端末のセキュリティ強化するために、EDRを通じ異常な動作を事前に検出することが重要です。
○ 前回のレポート「Kimsukyグループの3段階コンボ脅威分析」では、「AppleSeed」キャンペーンについて紹介しました。このタイプと一緒に観察されるもう一つは[BabyShark]です。代表的に「Kimsukyグループの「BlueShark」脅威戦術分析」レポートがあります。
○ 特にMMCストレージコンソールファイル(.msc)を利用した攻撃戦術は「Kimsuky外信インタビュー依頼を詐称した攻撃発覚」報道を通じて初めて知られた後、攻撃パターンを阻止したと評価されます。
○ このように【BabyShark】は、主にスクリプト化された攻撃メカニズムに取り入れ、新しい攻撃戦術を積極的に導入し、実践しているのが特徴です。このレポートで説明する「ClickFix」戦術も、海外で発表された事例から学び悪用されたと推定されます。
[図2-1] 攻撃シナリオ
○ 2025年1月のある日、韓国の外交・安保・国際政治分野の特定の専門家に対し、密かなスピアフィッシング攻撃が行われました。
○ 攻撃を遂行した脅威アクターは、実際、スイスに本社を置くドイツ語日刊紙「NZZ」の東アジア特派員のように身分を偽装しました。それとともに、韓国、日本、台湾を取材しており、最近の状況に照らして韓国の政治・安保状況について洞察を得るために書面インタビューを要請したと明らかにしました。
○ 初期アクセスに使用したメールの内容は、以下の通りです。
|
Greetings, Please allow me to introduce myself: I am East Asia Correspondent with the German financial daily Handelsblatt and its Swiss partner publication NZZ (Neue Zürcher Zeitung), covering Japan, the Koreas and Taiwan. I am reaching out to request an interview with you to gain your insights into South Korea’s current political and security dynamics in light of recent developments. The arrest of President Yoon Suk-yeol, along with the investigation into allegations of insurrection following the declaration of martial law, has significantly shifted South Korea's political landscape. These developments have introduced new challenges to South Korea’s foreign policy and security strategy. Given your deep expertise in Northeast Asian geopolitics and inter-Korean relations, I would greatly value your perspective on how this political turmoil might affect South Korea’s external relations, particularly with major powers like the United States and China. Additionally, I am keen to hear your insights on the implications of North Korea’s recent military activities and changes in its international relations for the security environment on the Korean Peninsula. If interested, please respond to this email at your earliest convenience. I look forward to your positive reply. Thanks for your consideration and time in advance. Best regards, East Asia Correspondent |
[表3-1] 初期アクセスに使用されたメールの内容
○ その際、メールの受信者はインタビュー要請に何の疑いも持たず、面接を受け入れる返信を送りました。そして、スケジュールと場所を調整するために必要なメールのやりとりを何回か続けました。この時点まで、攻撃の兆候は見受けられませんでした。
○ 数回のメールやり取りの後、脅威アクターは本性を現わします。より詳細なインタビューのために事前アンケートを共有するとし、悪性URLを含めたメールを送ります。この時、安全な共有方式を使っているとしながら、最大限安心させた上でファイルへのアクセスを誘導します。
[図3-1] pCloud経由で配信された悪意のあるファイルの画面
○「[NZZ] Interview Questionnaire.rar」ファイルは暗号化および圧縮されており、中にはVisual Basic スクリプト (.vbs) タイプの悪意のあるファイルが含まれています。スクリプト シェル コマンドは、大きく3 つの主要なコードブロックで構成されています。
○ [コードブロック1]の場合、pp、dd、ff変数などの初期化を設定し、pp変数に保存されたcmdコマンドを通じておとり(Decoy)用のGoogle文書をブラウザで開きます。[コードブロック2]の場合、dd変数を介して一時ディレクトリ(tempcaches)を隠し属性で作成し、curlコマンドでkonamo[.]xyzC2 サーバからファイルをダウンロードします。次に、schtasks コマンドを使用してタスクスケジューラーにジョブを登録し、持続性を維持します。[コードブロック3]の場合、ff変数を介して現在実行中のプロセスリストとユーザ情報を収集しkonamo[.]xyz C2 サーバに転送します。
○ 当時、C2サーバにアクセスすると、「Version:RE4T-GT7J-KJ90-JB6F-VG5F」という文字列が表示されました。このパターンは、Kimsukyグループの既存のBabySharkキャンペーンでも観察されたことがあります。
[図3-2] C2 サーバ demo.php?ccs=cout 画面
○ また、該当スクリプトには文字列難読化(Obfuscation)技術が適用されています。これはマルウェアによく見られる一般的な手法ですが、類似の脅威としても使用されきます。この難読化方式は、7539518426文字列を任意に挿入し可読性を低下させ、特定のキーワードを隠すための方式です。これにより、セキュリティ製品のシグネチャベース検知のバイパスと分析を妨害する役割として使用できます。
○スクリプトは直接的に復号化をするのではなく、Windowsコマンドラインのcallコマンドで%string:stringA=stringB%構文を使用します。例を挙げて説明すると、call %c1:7539518426=% の場合、c1 という環境変数の7539518426文字列を空の文字列に置き換えることで、元の命令が復元します。したがって、すでに入力されていた7539518426文字列が消えた結果を示します。
[図3-3] VBSコードブロック画面
○ 任意の数字が繰り返し入力されるコード難読化が適用されていますが、この程度のVBSベースのマルウェア攻撃は検知される可能性がまだ存在します。
○ 上で述べた攻撃シナリオも、やりとりした会話とコミュニケーションを通じてある程度目標に近づくことができます。しかし、よく知られているVBS型の悪意のあるスクリプトは、主要なセキュリティ製品によって検知され、疑われる可能性が高いです。脅威アクターはこのような欠点を補うために、「ClickFix」戦術を実戦に導入することができます。
○ 実際、2025年3月、韓国でスピアフィッシング攻撃が検知されました。当時の調査結果、脅威アクターは米国の安全保障高官の補佐官のように身分を偽装しました。その後、その高官は近いうちに韓国を訪問する予定で、受信者に別途会議に出席できるかどうか尋ねます。もし、該当の内容に返信すると、今後の専門家会議に必要な質問リストを予め確認できるように添付ファイルが届きます。そして、別途セキュリティ文書にアクセスするための確認コードとマニュアルを閲覧するように惑わします。
[図3-4] セキュリティ文書アクセスマニュアル画面
○ ちなみに利用マニュアルのように作成されたPDF文章は英語だけで作成された初期バージョンの他に、フランス語、ドイツ語、日本語、韓国語、ロシア語、中国語などの多言語バージョンも存在します。
[図3-5] 多言語バージョン画面
○ 一方、届いた添付ファイルには、取扱説明書とともにCode.txtファイルが同梱されています。既存の「ClickFix」戦術が特定エラーを修正するようにクリックを誘導して方式であれば、今回の事例はセキュリティ文章を閲覧するために必要な認証コードをコピーおよび貼り付けの入力方式で応用されました。
[図3-6] Code.txt 内部コマンドの一部
○ 該当コマンドはPowerShell入力ウィンドウに貼り付けする内容のため、ユーザの疑いを極力避ける必要があります。このために、肉眼でコマンドを理解しにくいようにリバース配列難読化が適用されています。
| $req_value=-join $value.ToCharArray()[-1..-$value.Length]; cmd /c $req_value; exit; |
[表3-2] 難読化された文字列の逆順配列コマンド
○ まず、$value変数にはコア関数の文字列が配置されています。この文字列を逆の順序に変換し、$req_value 変数に割り当てます。次に、コマンドプロンプト(cmd.exe)を使用して、$req_value変数に格納されているコマンドを実行して終了します。
○ 難読化された文字列を逆の順序で変換すると、先ほど紹介したVBSスクリプトと比較すると、コードパターンが非常に似ていることが分かります。
[図 3-7] 文字列逆順変換コードの一部
○ C2サーバがraedom[.]storeアドレスに変更されましたが、おとりファイルの閲覧のためGoogleドライブに接続せることと文字列を難読化に使用した7539518426文字列が同じです。
○ また、C2通信に使用されるdemo.php?ccs=cin、demo.php?ccs=coutアドレススキームは、臨時ディレクトリ(tempcaches)パスと一致します。また、C2 Webページにアクセスしたときに表示されるVersion:RE4T-GT7J-KJ90-JB6F-VG5F文字列も同じです。
[図3-8] C2 存在文字列
○ このように、ユーザがCode.txtファイルがマルウェアであることを知らずに、PowerShell画面に直接入力する場合、感染被害を受けることになります。その後、タスクスケジューラ登録でC2サーバとの持続性が維持され、ユーザ情報の収集と追加の悪意ファイルのインストールを試みることとなります。
○ 次に、実際の国防研究募集サイトのように巧妙に偽装したサイトを通じて「ClickFix」戦術の事例が報告されました。脅威アクターは、求人情報用の偽サイトをセットアップしました。求職者が投稿をクリックしたときにポップアップメッセージを出力します。
[図3-9]「ClickFix」ポップアップメッセージ画面
○ 次に、リモートコンピュータに、Chromeリモートデスクトップをダウンロードおよびインストールするように作って、Secure Shell(SSH)経由で被害者のコンピュータにリモートアクセスできるように設定します。
○ ちなみに「Microsoft Threat Intelligence」SNSを通じて同様の事例が知られましたが、’securedrive.fin-tech[.]com’, '115.92.4[.]123' (KR)の C2アドレス が公開されたことがあります。
○ 韓国の場合、C2は’kida.plusdocs.kro[.]kr' ドメインで、アクセスされた IP アドレスは '1.223.129[.]234’(KR)です。当時使用されていたWebサーバの「ディレクトリリスティング(Directory Listing)」問題で流出したデータがそのまま外部に露出されました。
[図3-10] C2サーバ ディレクトリリスティング画面
○被害者である可能性が高い韓国所在のIPアドレス(匿名化のためモザイク)のほか、多数の国際アドレスが識別されました。
[図3-11] IP アドレス検索結果
○このうち中国所在の’112.74.194[.]45’(CN) IPログから脅威アクターのキーログ(Keylog)レコードが存在したことが判明しました。そして、ベトナム所在の'103.149.98[.]248’ (VN) IPは、悪意のある C2 サーバとして使用されたと推定されます。
○特に’1.223.129[.]234' (KR)の他に'211.170.73[.]245' (KR), '106.243.157[.]158’(KR)IPでも脅威インフラストラクチャとして使われた可能性が高いです。
| IP | Domain | Hosting |
| 1.223.129[.]234 (KR) | kida.plusdocs.kro[.]kr | マイドメイン[.]韓国 |
| mspro.kro[.]kr | ||
| msprovider.menews.o-r[.]kr | ||
| 211.170.73[.]245 (KR) | nid.naver.rkfd[.]com | Godaddy |
| e-securedrive.assembly.twoon.co[.]kr | Cloudflare | |
| securedrivelog.register[.]im | Afraid |
[表 3-3] 脅威インフラストラクチャ情報
○ キーログレコードには、スピアフィッシング攻撃で使用されたProtonドライブのリンクアドレスが含まれています。
[図3-12] Protonドライブ画面
○Protonドライブから届いた「WORKING AGENDA.zip」ファイルは典型的なKimsukyグループの「BabyShark」シリーズです。圧縮ファイルの中には、msedgeアイコンを装った「USSC_AUSTRALIA-KOREA-JAPAN_TRACK-1.5_DIALOGUE.lnk」ショートカットファイルが含まれています。
○ 2024年10月4日、Kimsukyグループの「BlueShark脅威戦術分析」レポートと似ています。「Adersoft」が配布する「VBScript Editor with Debugger」プログラムのLauncherファイルを使用して悪意のあるmanifestファイルを呼び出します。
○ 併せて、C2サーバである’androcl.csproject[.]org', '118.193.69[.]151’ (KR) と通信すると、既存の「BabyShark」パターンに似たものに気付きます。ちなみに、同じIP帯域で'login.androclesproject.o-r[.]kr' の類似ドメインが観察されていますが、「マイドメイン[.]韓国」から割り当てられたものです。
[図3-13]「BabyShark」シリーズの脅威の概略図
○ 今回の悪意のあるファイルで使われたおとり(Decoy)用のPDF文書と同様な悪意のあるショートカット(LNK)ファイルが多数報告されています。
[図3-14] PDF Decoy文書実行画面
○ おとり文書は同じですが、変種によってC2アドレスや経路に違いがあります。
| MD5 (LNK File) | C2 | File Size (Bytes) |
| 40ce5cf6be259120d179f51993aec854 | androcl.csproject[.]org/happy_0320/d.php?newpa=comline&&wpn=jeffrey | 942,821 |
| a523bf5dca0f2a4ace0cf766d9225343 | 103.149.98[.]247/vs/t1/d.php?newpa=comline&wpn=soofer | 566,849 |
| 89a725b08ab0e8885fc03b543638be96 | 103.149.98[.]247/vs/tt/d.php?newpa=comline&wpn=soofer | 562,975 |
| fc4c319d7940ad1b7c0477469420bd11 | 103.149.98[.]247/vs/tA/d.php?newpa=comline&wpn=aaa | 566,842 |
[表3-4] 類似の変種マルウェア情報
○ 脅威インテリジェンス(TI)でピボッティングとは、特定のデータをベースに関連情報を見つけて探索し、該当脅威に関する属性と理解を広げることを意味します。これにより、侵害指標 (IoC) 間の隠れた関連性と相関関係を把握し、脅威キャンペーンを研究することに活用します。
○ Proofpointの「ClickFix」分析レポートでは、「North Korea: TA427」の内容にQuasarRATの最終ペイロード(Payload)が記述されました。この時使われたKimsukyのC2サーバIPは'38.180.157[.]197’(NL)です。
【図4-1】脅威事例別の相関分析
○ 上記オランダ所在のC2はアメリカ放送局のテレビ討論会へ招待状を装ったメール内部で観察されており、送信者のドメインは’voanews.co[.]com' です。また、Proofpointがネットワークインフラを分析したところ、2025年1月中旬の偽のセキュアドライブ事件と2025年2月初めに韓国警察庁の捜査官になりすました攻撃で特定されたセキュアドライブのデザインが非常に似ていることが分かります。
○ 通常「BabyShark」シリーズは、BAT、VBSとともにPowerShellなど様々なスクリプトベースの攻撃を遂行し、RAT(Remote Access Tool)ファイルをインストールすることもあります。そして、メールのパスワードを盗むための様々なテーマのアカウントフィッシング(Phishing)も試みます。
| Domain | IP | CC |
| konamo[.]xyz | 162.0.229[.]227 | US |
| cafe24[.]pro | ||
| temuco[.]xyz | ||
| tenelbox[.]store | ||
| raedom[.]store | ||
| cukumam[.]shop | ||
| bikaro[.]store | ||
| naunsae[.]store | ||
| secure.drive.polices[.]site | 157.7.184[.]11 | JP |
| account-profile.servepics[.]com | 210.179.30[.]213 | KR |
| accounts-porfile.serveirc[.]com | ||
| securedrive.servehttp[.]com | 172.86.111[.]75 | US |
| 118.194.228[.]184 | JP | |
| securedrive.fin-tech[.]com | 115.92.4[.]123 | KR |
| kida.plusdocs.kro[.]kr | 1.223.129[.]234 | KR |
| mspro.kro[.]kr | ||
| msprovider.menews.o-r[.]kr | ||
| securedrive-overseas-state.bit-albania[.]com | 65.254.248[.]151 | US |
| securedrive.privatedns[.]org | 121.179.161[.]231 | KR |
[表4-1]C2別ドメイン、IPアドレスの比較
○ サイバー脅威の分野での「脅威の帰属(threat attribution)」とは、特定のサイバー攻撃または攻撃者を特定し、攻撃に使用したツール、技術、手口を追跡するプロセスを指します。これは主に次の目的で遂行します。
○ 今年2月に警察庁捜査官を詐称して作成したメールで北朝鮮系の単語表記を確認しました。韓国では「내일-ネイル」と表記するが、北朝鮮では「래일-レイル」と表現します。このような韓国‐北朝鮮間の単語の違いを理解するためには、言語の分析においても多くの注意が必要です。
[図5-1] 警察庁詐称攻撃に対する北朝鮮の表現
○ そして防衛分野の採用関連発表を詐称した画面には「적재일-積載日」という北朝鮮の表現が使われました。韓国では「등록일-登録日」や「게시일-掲示日」と表現した方がより適切です。
【図5-2】採用詐称フィッシングサイト表現
○ また、「ClickFix」メッセージウィンドウにも北朝鮮の表現が使われました。「지령-指令」や「체계 정보-体系 情報」など北朝鮮のIT表現方式がそうです。韓国では「명령-命令」や「시스템 정보-システム 情報」として使われる表現です。
[図5-3]「ClickFix」フィッシングサイト画面
○ 2025年6月初めから韓国ポータルサイトのセキュリティ設定に似せて操作された「ClickFix」攻撃事例が摘発されました。この攻撃もKimsukyグループの仕業と推定されます。
○ 脅威アクターは、ポータルのセキュリティ設定画面のようにデザインされた偽のサイトを見せ、キャプチャ(CAPTCHA) 機能を装ったチェックボタンを選択するように誘導します。ボタンにチェックを入れると、新しいポップアップウィンドウが表示され、コピーした悪意のあるPowerShellコマンドを貼り付けて実行するように求められます。
[図6-1] ポータルを詐称した「ClickFix」フィッシングサイトの画面
○ 実際のフィッシングページには、次のコードが含まれています。
[図6-2] フィッシングサイト内のコード画面
○ PowerShellコマンドを通じてC2サーバで特定のコマンドを実行し、追加のマルウェアをダウンロードします。次に、「HncUpdateTray.exe」ファイル名を装った「AutoIt v3」アプリケーションを使用して悪意のあるAuto Itスクリプトを呼び出し、ユーザ情報の奪取などを試みます。
○「ClickFix」戦術を理解し、同様の被害を防ぐために下記のような画面を覚えておくと役に立ちます。
[図7-1]「ClickFix」戦術で使用されるPowerShell実行画面
○まとめると、改ざんされたWebページのポップアップやメールガイドを通じてPowerShellコマンド入力を求めます。そして、管理者権限で実行するように誘導します。このとき、別途提示されたスクリプト文字をユーザが自らコピーして貼り付けるように案内する場合、悪性スクリプトである可能性が高いです。したがって、やみくもにコピーすることは非常に危険であることを心に留めておくことが重要です。
○ MITRE ATT&CKは、これらの手法を User Execution: Malicious Copy and Paste (T1204.004) に分類しています。そして、緩和策(Mitigations)を提供します。
○「ClickFix」戦術は人間の心理を巧みに悪用した攻撃でありながら、セキュリティ検出を回避するという目的もあります。ただし、Genian EDR エージェントは、この脅威的な動作フローを正確に特定できます。
[図7-2] PowerShell を使用した Genian EDR 製品の動作
○ ユーザが直接PowerShellコマンドを実行した場合でも、Genian EDRはこれを可視化して情報を提供します。セキュリティオペレーションセンター(SOC)の担当者は、端末から収集されたプロセス開始イベントの流れを簡単に把握することができます。
○ PowerShell.exe プロセス開始後、「cmd.exe」、「attrib.exe」、「schtasks.exe」など、連続的にMITRE ATT&CKテクニックタグが登録されていることがわかります。
[図7-3] PowerShellによる悪質なコマンド操作画面
○GenianEDRは、図式化された攻撃ストーリーライン(Attack Story Line)を通じてPowerShellコマンド後、どのようなC2サーバと通信を行うのかも楽に確認できます。
[図7-4] C2サーバとの通信状況照会の画面
○ Genian EDR管理者は、脅威の検出を効果的に管理できます。C2サーバ通信の履歴を表示し、成功か失敗かも判断できます。
○ この方法で特定された C2 情報は、ファイアウォール(Firewall)のブロックポリシーと組み合わせて活用できます。EDRで特定されたC2サーバのIPアドレスとDomainアドレスをファイアウォールブロックポリシーに追加することで、同様の脅威の侵入を根本的にブロックできます。さらに、下記提供するセキュリティ侵害インジケーター(IoC)情報を活用することも一つの対応方法です。
○ ちなみにGenian EDRは、お客様のセキュリティを強化するために、国内外の主要機関および企業と協力して最新のIoC情報をリアルタイムで更新しています。
56233bac07f4f9c43585e485e70b6169
a523bf5dca0f2a4ace0cf766d9225343
ad6104a503b46bf6ea505fe8b3182970
bf795a376233032d05766a396b3d6e08
ca13c54987293ae7efc22b14e1153c1e
d10208c32fbbb5cacbd2097fc0dcd444
fc4c319d7940ad1b7c0477469420bd11
fcde319b752cacec40ffba130067de0d
8c33e8439844c315b7b3f21b0c1633aa
8ff155a2962c77e9da05bd0476af36be
12bfe00206b2e83c7ff79b657d3c56df
89a725b08ab0e8885fc03b543638be96
627b856884604880a5c009ebf7173efb
913fe4236ca5e34879d2a3228da6b9c6
3297e3606d6466bc7f741a4df2b9e96a
0a9c22079c898fc112e67ce1caff8f54
www.online.check-computer.kro[.]kr
online.lecture-site.kro[.]kr
cyber.lecture.site.online-driver.kro[.]k
account-profile.servepics[.]com
accounts-porfile.serveirc[.]com
cafe24[.]pro
cukumam[.]shop
bikaro[.]store
naunsae[.]store
kida.plusdocs.kro[.]kr
konamo[.]xyz
mspro.kro[.]kr
msprovider.menews.o-r[.]kr
raedom[.]store
secure.drive.polices[.]site
securedrive-overseas-state.bit-albania[.]com
securedrive.fin-tech[.]com
securedrive.privatedns[.]org
securedrive.servehttp[.]com
temuco[.]xyz
tenelbox[.]store
androcl.csproject[.]org
login.androclesproject.o-r[.]kr
1.223.129[.]234
103.149.98[.]247
103.149.98[.]248
106.243.157[.]158
112.74.194[.]45
115.92.4[.]123
118.193.69[.]151
118.194.228[.]184
121.179.161[.]231
157.7.184[.]11
162.0.229[.]227
172.86.111[.]75
210.179.30[.]213
211.170.73[.]245
38.180.157[.]197
65.254.248[.]151