C
月内に
Anthropic社のClaude Codeユーザーを標的とした、偽サイトによるファイルレス情報窃取キャンペーン
📌 一言でいうと
Anthropic社のClaude Codeユーザーを標的とした、偽サイトによるファイルレス情報窃取キャンペーンが確認されました。攻撃者は検索エンジンへの投毒を通じてユーザーを偽サイトへ誘導し、mshta.exeを用いた悪意のあるスクリプトを実行させます。この攻撃はメモリ上で動作し、EDRを回避するために32ビット版PowerShellやAMSIバイパスを利用してブラウザの認証情報を窃取します。C2サーバーはロシアのインフラに接続されていることが判明しています。
🔍該当判定
- 社内でAIプログラミングツール「Claude Code」を導入しようとして、検索エンジンからインストール方法を探している
- Anthropic社の公式サイトを装ったページで、「Win+R」キーを押してコマンドを貼り付けるよう指示された
- Windows端末で「mshta.exe」というプログラムが外部サイト(download.version-516.comなど)に接続している
- 開発者が個人の判断で、非公式なサイトからClaude Codeのインストーラーや設定ファイルをダウンロードした
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 公式サイト以外からソフトウェアをインストールしない。 2. Win+Rなどのコマンド実行を促す不審な指示に従わない。 3. *.oakenfjrod.ru への通信を遮断し、mshta.exe の不審な外部接続を監視する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツール「Claude Code」を装った偽サイトにご注意ください
お疲れさまです。情報システム担当です。
AIプログラミングツール「Claude Code」のインストールを装い、PCからパスワードなどの個人情報を盗み出す偽サイトが出現しています。
ご協力をお願いしたいこと:
1. 検索結果からソフトをインストールする際は、必ず公式サイトであることを確認してください。
2. サイト上の指示で「Win+R」キーを押し、何かコマンドを貼り付けて実行するよう求められた場合は、絶対に行わず、すぐに情報システム担当へ報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
AIプログラミングツール「Claude Code」のインストールを装い、PCからパスワードなどの個人情報を盗み出す偽サイトが出現しています。
ご協力をお願いしたいこと:
1. 検索結果からソフトをインストールする際は、必ず公式サイトであることを確認してください。
2. サイト上の指示で「Win+R」キーを押し、何かコマンドを貼り付けて実行するよう求められた場合は、絶対に行わず、すぐに情報システム担当へ報告してください。
対応期限: 本日中
Subject: [Security Alert] Beware of Fake Anthropic/Claude Code Websites
Hi everyone,
We have received reports of fake websites impersonating Anthropic's "Claude Code" tool to steal credentials from users' computers.
What you need to do:
1. Always ensure you are using the official Anthropic website when downloading or installing software.
2. NEVER follow instructions on a website that ask you to press "Win+R" and paste/execute a command in the Run dialog.
Deadline: Immediate
Hi everyone,
We have received reports of fake websites impersonating Anthropic's "Claude Code" tool to steal credentials from users' computers.
What you need to do:
1. Always ensure you are using the official Anthropic website when downloading or installing software.
2. NEVER follow instructions on a website that ask you to press "Win+R" and paste/execute a command in the Run dialog.
Deadline: Immediate
件名: 【共有】Claude Codeを標的としたファイルレス情報窃取攻撃への対応について
お疲れさまです。Claude Codeユーザーを標的とした新たな攻撃キャンペーンに関する情報共有です。
■ 概要
SEOポイズニングにより偽サイトへ誘導し、mshta.exe経由でMP3/HTAハイブリッド形式のペイロードを配信する攻撃です。32bit PowerShellの利用、AMSIバイパス、および反射的.NETロードを用いてメモリ上で動作し、ブラウザの認証情報を窃取します。
■ 影響範囲
- Claude Codeを利用しようとするWindowsユーザー
■ 対応手順
1. ドメイン *.oakenfjrod.ru への通信をDNS/FWレベルでブロックしてください。
2. mshta.exe による不審な外部ネットワーク接続のログを監視してください。
3. 32bit PowerShell プロセスの異常な起動を検知するルールを検討してください。
■ 参考情報
- Cyderes Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Claude Codeユーザーを標的とした新たな攻撃キャンペーンに関する情報共有です。
■ 概要
SEOポイズニングにより偽サイトへ誘導し、mshta.exe経由でMP3/HTAハイブリッド形式のペイロードを配信する攻撃です。32bit PowerShellの利用、AMSIバイパス、および反射的.NETロードを用いてメモリ上で動作し、ブラウザの認証情報を窃取します。
■ 影響範囲
- Claude Codeを利用しようとするWindowsユーザー
■ 対応手順
1. ドメイン *.oakenfjrod.ru への通信をDNS/FWレベルでブロックしてください。
2. mshta.exe による不審な外部ネットワーク接続のログを監視してください。
3. 32bit PowerShell プロセスの異常な起動を検知するルールを検討してください。
■ 参考情報
- Cyderes Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Fileless Credential Theft Targeting Claude Code Users
Dear Security Team,
We are sharing intelligence regarding a new campaign targeting Claude Code users.
■ Overview
Attackers use SEO poisoning to lure victims to fake sites, executing a fileless payload via mshta.exe. The malware employs 32-bit PowerShell to evade 64-bit EDR monitoring, bypasses AMSI, and uses reflective .NET loading to steal browser credentials in-memory.
■ Scope
- Windows users attempting to install/use Claude Code.
■ Mitigation Steps
1. Block all traffic to *.oakenfjrod.ru.
2. Monitor for suspicious outbound connections initiated by mshta.exe.
3. Audit for unusual 32-bit PowerShell process executions.
■ Reference
- Cyderes Threat Intelligence Report
Priority: High
Deadline: Immediate
Dear Security Team,
We are sharing intelligence regarding a new campaign targeting Claude Code users.
■ Overview
Attackers use SEO poisoning to lure victims to fake sites, executing a fileless payload via mshta.exe. The malware employs 32-bit PowerShell to evade 64-bit EDR monitoring, bypasses AMSI, and uses reflective .NET loading to steal browser credentials in-memory.
■ Scope
- Windows users attempting to install/use Claude Code.
■ Mitigation Steps
1. Block all traffic to *.oakenfjrod.ru.
2. Monitor for suspicious outbound connections initiated by mshta.exe.
3. Audit for unusual 32-bit PowerShell process executions.
■ Reference
- Cyderes Threat Intelligence Report
Priority: High
Deadline: Immediate