ロシア精鋭ハッカーもClickfix攻撃を採用
原題: Now, even Russia's most elite hackers are using Clickfix to infect devices
なぜ重要か
国家主導のAPTグループが既存の犯罪者向け手法を採用したことで、Clickfix攻撃の脅威範囲が政府・重要インフラ分野にまで拡大する転換点となる。
ウクライナのCERT(CERT-UA)は2026年7月16日、ロシア軍情報機関GRUの精鋭ハッキングユニット「Sandworm」が、偽CAPTCHAを用いてユーザーに悪意あるスクリプトを実行させる「Clickfix」手法でウクライナ国内の組織を標的にしていると警告した。少なくとも1組織のネットワークが侵害されたことが確認されている。
CERT-UAは2026年7月16日付の勧告で、Sandwormが春から夏にかけてClickfix攻撃キャンペーンを展開していると発表した。Sandwormはロシア軍参謀本部情報総局(GRU)傘下の高度持続的脅威(APT)グループとして知られる。
Clickfixは主に金銭目的のサイバー犯罪者が過去1年ほどで使い始めた手法で、攻撃者が管理するウェブサイトに偽の「CAPTCHA認証」画面を表示し、訪問者にテキストをコピーしてターミナルに貼り付けるよう誘導する。このテキストには悪意あるスクリプトが含まれており、実行するとマルウェアのインストールや機密データの窃取が行われる。
今回のキャンペーンでは、10件以上の侵害されたウェブサイトが確認された。偽CAPTCHAを通じてPowerShellコマンドを実行させ、悪意あるVisual Basic Script(VBS)ファイルなどを端末にインストールする手口が使われた。
使用されたマルウェアは複数確認されている。まず偵察ツール「SCOUTCURL」(PowerShellスクリプト)が実行され、コンピュータの基本情報、インストールプログラム、ファイル、ブラウザデータなどを収集・送信する。重要なターゲットと判断された場合は、バックドア型マルウェアが追加インストールされる。その他のマルウェアには、スタートアップディレクトリにVBSファイルを設置する「GHETTOVIBE」、Pythonスクリプトで端末をバックドア化する「FreakyPoll」、アンチウイルスソフトに偽装した「FluidLeech」、「LoadLoop」が含まれる。
また、攻撃者はトラフィックフィルタリングサービス「Cloaking.House」を悪用するほか、独自のプログラムコード「SMARTAXE」を使用してウェブページのコンテンツを訪問者ごとに動的に変更していたことも判明した。