Red Canaryの警告によると、悪意のある攻撃者が被害者のマシンにリモート監視・管理(RMM)ソフトウェアをインストールするために、新たなフィッシングキャンペーンで複数の誘導手法を使用しています。
Zscaler社は金曜日のブログ投稿で、ITarian(旧Comodo)、PDQ、SimpleHelp、Ateraのツールが、隠密なリモートアクセスのために悪用されている複数のキャンペーンを観測したと説明しました。
具体的な4つの誘導手法を挙げています:
- 感染したウェブサイトにアクセスした後、被害者がリダイレクトされる偽のブラウザアップデート。ユーザーが「Chromeを更新」ボタンをクリックすると、知らずにITarian RMMのMicrosoft Installer(MSI)をダウンロードしてしまいます。
- 会議招待で、被害者にMicrosoft TeamsやZoom Installerなどの偽の会議ソフトウェアインストーラーが提示されます。最終的な目的は、Atera、PDQ、またはScreenConnectのRMMツールをインストールさせることです。
- 主にメールで送信されるパーティー招待状で、「Party Card Viewer」や「E-Invite」といった誘い文句が使われます。Atera RMMツールは、被害者のコンピュータが信頼するCloudflare R2オブジェクトストレージドメインを通じて配布されます。
- 社会保障明細、W9フォーム、所得税申告書などの政府関連書類。被害者がクリックすると、PDQ Connect、SimpleHelp、またはScreenConnectのインストールが始まります。いくつかの例では、攻撃者が短時間で複数のRMMツールを連続してインストールします。
RMMの脅威についてさらに読む:ランサムウェア集団がSimpleHelp RMMを悪用し公共料金請求会社を侵害
Red Canaryは警告し、RMMソフトウェアが脅威アクターによるランサムウェアやデータ窃取攻撃の発動に利用される可能性があると述べています。
「現実的に見えるフィッシングメールやウェブサイトが比較的容易に作成できることを考えると、組織がセキュリティコントロールや検知能力を実装することが極めて重要です」と付け加えました。
「ブラウザ分離や新たに登録された疑わしいドメインの監視など、ネットワークコントロールを実装することで、これらの侵害を初期段階で特定し封じ込めるのに役立ちます。」
このセキュリティベンダーは、企業のセキュリティチームに対し、次の方法で脅威を軽減するよう促しています:
- エンドポイント層での検知と対応の導入
- 「承認済みツールリスト」を維持し、未承認のものへのアクセスを拒否する
- Cloudflare R2オブジェクトストレージドメインなど、信頼されたサービスに対する予防的または監視的コントロールによるネットワークの可視性向上。これには、ドメインが疑わしい拡張子のファイルを配信する際のブラウザ分離の強制や、新規登録された疑わしいドメインの監視が含まれる場合があります。
「RMMツールが悪用されているかどうかを判断するには、その通常の挙動のベースラインを理解することが不可欠です」とRed Canaryは結論付けています。
「悪意ある活動の主な兆候には、ファイル名の変更、標準でないディレクトリからのツールのダウンロードおよび実行、RMM製品と関連のないドメインからのRMMインストーラーのダウンロード、または疑わしいネットワーク接続の開始などがよく含まれます。」
翻訳元: https://www.infosecurity-magazine.com/news/phishing-campaigns-rmm-tools/