正規のNinjaOneリモート監視・管理(RMM)エージェントを武器化し、ブラジルの組織へ永続的なリモートアクセスを獲得しようとする、現在進行中のフィッシングキャンペーンが確認されています。
攻撃者は独自のマルウェアに頼るのではなく、馴染みのある業務フローとポルトガル語のソーシャルエンジニアリングを駆使して、財務・調達・経理・管理部門のスタッフを騙し、攻撃者が管理するインフラへ接続するデジタル署名済みのNinjaOneエージェントをインストールさせています。
この主要RMMツールの未文書化な悪用は、攻撃者が検知を最小化し操作の自由を最大化するために、信頼されたエンタープライズツールを活用するという憂慮すべきトレンドを浮き彫りにしています。
このキャンペーンは、被害者をGoogleのコンテンツリダイレクトチェーンを経由してポルトガル語のランディングページへ誘導する、巧妙に作り込まれたフィッシングメールから始まります。
これらのポータルは、SEFAZ関連の財務文書、Reclame Aquiを模した苦情管理サイト、安全な文書配信サービスなど、ブラジルで広く知られた手続きを装い、「Documento Fiscal」「Download Seguro」「Verificação de Segurança」といったローカライズされた表現を用いて信頼性を演出しています。
Cato CTRLの研究者らは最近、未文書化の現行フィッシングキャンペーンを特定しました。このキャンペーンは偽のビジネス文書を餌にブラジルの組織を標的としています。
模擬的な認証フローを経た後、被害者がダウンロードボタンをクリックすると、文書の代わりに、攻撃者が管理する管理エンドポイントへ登録するよう設定された正規のNinjaOneインストーラーが配信されます。
NinjaOne RMMエージェントの悪用手口
ファイル名には財務文書の識別子やサイトのコンテキストが埋め込まれており、偽装をさらに強化しています。例として「NinjaOne-Agent-DocumentoFiscal21782856920262001238-Sede-Auto-x86-64」といった名前が使用されています。
フィッシングインフラに組み込まれた技術的な対策は、攻撃者の高い運用成熟度を示しています。攻撃者はジオフェンシングによってブラジルのIPレンジへのペイロード配信を制限し、ブラウザフィンガープリンティングによって自動化フレームワークやサンドボックス(Selenium、Puppeteer、Playwright、WebDriverアーティファクト、PhantomJS)を検出するほか、マウスの動き・スクロール・タッチイベントなどの行動チェックによって人間の存在を検証しています。
JavaScriptに仕込まれたハニーポットフィールドと開発者コメントは、意図的な解析回避を示しています。ポルトガル語のコメントの一つは「ボットがハニーポットに入力した」と訳されます。
Cloudflareのフロンティングによってバックエンドのホストがさらに難読化されており、シンプルなダウンロードメカニズム(?download=1)は、複雑なペイロード配信ロジックよりもソーシャルエンジニアリングが優先されていることを示しています。これらの防御策によって研究者への露出を抑え、インフラの稼働期間を延ばしています。
NinjaOneの悪用が特に深刻なのは、このプラットフォームの正規管理機能が攻撃者の目的に直接対応しているためです。
エンタープライズグレードのRMMとして、NinjaOneはエンドポイント監視、リモートシェルアクセス、ファイル転送、ソフトウェア展開、パッチ適用、自動化機能をサポートしています。これらの機能が攻撃者に制御された場合、被害者のネットワーク内での偵察、永続的なリモートアクセス、ツールの展開、横移動の機会をもたらします。
このキャンペーンは、CISA・NSA・MS-ISACが悪意あるRMM悪用に対して発した広範な警告とも一致しています。
Cato CTRLの分析は化学・先端材料分野の被害者に焦点を当てていましたが、この攻撃テンプレートは財務文書やサプライヤーとのやり取りを扱うあらゆる業種に幅広く適用可能です。
運用上のアーティファクトから発見されたインフラの転換点、中でも再利用された地球テーマの壁紙によって、関連ドメインへの調査範囲が広がりました。これは、ごくわずかな使い回し資産が攻撃者のエコシステムの大部分を明らかにする可能性を示す好例です。
調査員はまた、ブラジルにおけるVenon RAT活動と過去に関連付けられたインフラとの重複も発見しました。ただし、帰属については現時点では暫定的なものにとどまり、確定には追加の証拠が必要です。
報告書作成時点(2026年6月3日)では、責任ある開示を行ったにもかかわらず、フィッシングインフラの一部が依然としてアクセス可能な状態でした。組織は予期しない文書ダウンロードの促しに対して疑いを持ち、配信チャネルを直接確認するとともに、RMM導入に際して堅牢なエンドポイント管理とホワイトリスト運用を徹底すべきです。
防御策については、ベンダーのガイダンスおよびCISA・NSA・MS-ISACによるRMMプラットフォームの悪意ある利用に関する共同勧告も参照してください。
侵害の痕跡(IoC)
ドメイン
r64[.]org
hairdb[.]com
lazybearpottery[.]net
rectalmania[.]com
sefaz[.]services
reclameaqui[.]services
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の表記に戻してください。
翻訳元: https://gbhackers.com/hackers-abuse-ninjaone-rmm-agent/
