- Huntressは、持続的なアクセスの確立と業務データの窃取を目的として、正規のRMMツール(Tiflux、UltraVNC、Splashtop、ScreenConnect)を配布するフィッシングキャンペーンを発見した
- 攻撃者は「Network Solutions」のサービス契約に見せかけた偽のメールで標的を誘い込み、脆弱なドライバ(HwRwDrv.x64)を悪用して権限昇格を行う
- ブラジルのインフラおよびターゲットを示す証拠が存在しており、防御の要はRMMの厳格な監査、資産インベントリの整備、およびLOLRMMデータベースを参照したログレビューにある
サイバー犯罪者が、Tiflux、UltraVNC、Splashtop、ScreenConnectを含む多数の正規プログラムを悪用し、企業のコンピュータを乗っ取り、持続的なアクセスを確立し、機密データを継続的に窃取していることが明らかになった。セキュリティ研究機関のHuntressがこの新たなキャンペーンを詳細な調査レポートで報告した。
攻撃は巧妙に作成されたフィッシングメールから始まり、通常は「Network Solutionsからのサービス契約の更新」をテーマにしている。メールはNetwork Solutionsが料金プランとサービスを変更したと主張し、新しい利用規約を確認・同意するためのページにアクセスするよう標的に指示する。
記載されたリンクをクリックした被害者は、まずCAPTCHA認証を求められる。これはボットや自動解析ツールを排除するためと思われる。その後、「セキュアな文書」のダウンロードを求められるが、実際にはTifluxというマイナーながら正規の商用リモート監視・管理(RMM)ツールのインストーラーである。
2月下旬から続く攻撃
Tifluxとともに、被害者には7zip、旧バージョンのUltraVNC リモートアクセスツール、およびHwRwDrv.x64という脆弱なドライバも配布される。特に後者が重要であり、権限昇格に悪用される可能性がある。
攻撃者はその後、TifluxをSplashtopまたはScreenConnect(場合によっては両方)のインストールに利用し、最終目的である、ライブスクリーンショットの送信、システムユーティリティの実行、持続的アクセスの確立、およびデータの窃取へと移行する。
Huntressは今年2月下旬にこの攻撃を実際に確認している。レポートでは特定の脅威アクターグループや名称には言及していないが、Tifluxがブラジル製ツールであること、そして脅威アクターのインフラがブラジルの国別トップレベルドメインで終わるサーバードメインを使用していることが記されている。
つまり、すべての証拠がブラジルの攻撃者によるブラジルの標的への攻撃であることを示している。
企業がRMMの悪用に対して防御するには、インストール済みアプリケーションの包括的な資産インベントリを整備し、厳格なアプリケーション制御を導入し、承認済みRMMを定期的に監査してLOLRMMなどのデータベースと照合することで脅威アクターに悪用されやすいツールを特定し、RMMの活動に関するログを定期的に確認することが有効である。
