TokyoBlackHatNews

helpnetsecurity.com 5分で読了

SimpleHelpの脆弱性を悪用した強力なDjinn Stealerの配布(CVE-2026-48558)

攻撃者は、SimpleHelp RMMの認証バイパス脆弱性CVE-2026-48558(最近パッチが公開)を悪用し、新型マルウェア「Djinn Stealer」を被害者のコンピューターに展開しています。

Image

このマルウェアはWindows、macOS、Linuxシステムを標的とし、「クラウドプラットフォーム、ソースコントロール、パッケージレジストリ、インフラツール、AI開発アシスタント、ブラウザ、SSH、暗号資産ウォレットに関連する認証情報を収集する」ことが、BlackPoint Cyberの研究者によって明らかになりました。

CVE-2026-48558の悪用

SimpleHelpは、マネージドサービスプロバイダー(MSP)や企業の社内ITヘルプデスクで広く利用されているリモート監視・管理(RMM)ツールです。

CVE-2026-48558はHorizon3.aiの研究者によって発見され、2026年6月12日に詳細情報と注意すべき侵害の痕跡(IoC)をまとめたレポートが公開されました。

6月29日、BlacPoint CyberのAdversary Pursuit Groupの研究者が警告を発しました。攻撃者がCVE-2026-48558を悪用し、インターネットに公開されたSimpleHelpサーバーのOIDC認証をバイパスしているというものです。

攻撃者はテクニシャンセッションを取得し、それを利用して管理対象システム全体へのファイル転送とマルウェアのリモート実行を行いました。

「マルウェアを従来のフィッシングメールの添付ファイルや単独のエクスプロイトで展開するのではなく、攻撃者はRMMプラットフォームを利用して侵害の次段階を取得・実行しました。これにより信頼された実行パスが確保され、正規のサポートセッションに見せかけた活動が可能になりました」と、研究者のNevan BealとSam Deckerは説明しています。

「攻撃者はこのアクセスを利用し、一時的なCloudflareホストURLから取得した高度に難読化されたJavaScriptファイルjquery.jsを大量展開し、node.exeを通じて実行しました。ファイル名は正規のjQueryライブラリに見せかけるよう設定されていましたが、実際には1.08 MBの1行に圧縮された高度難読化Node.jsペイロードでした。」

このペイロードはTaskWeaverと呼ばれるローダーで、ホストの「フィンガープリント」情報を収集して攻撃者に送信し、最終ペイロードであるDjinn Stealerの配布を最適化します。Djinn Stealerは「TaskWeaverの難読化フレームワークを再利用し、同一のRSA公開鍵を埋め込んでおり、両者の強い関連性が示されています」。

機密情報の窃取

Djinn Stealerが狙う情報は以下の通りです。

  • AWS、Azure、Google Cloud、Oracle Cloud Infrastructure、Okta、Cloudflare、DigitalOcean、Linode、Heroku、Vercel、Railway、Supabase、Pulumi、Terraform、HashiCorp Vault、Consulなど、多種多様なクラウドサービスの設定・認証データ
  • GitHub CLIデータ、Git設定、SSHキー、Docker認証情報、Helmレジストリ情報、S3およびMinIOクライアント設定、Subversionの認証情報
  • npm、pnpm、Yarn、NuGet、Cargo、Composer、Maven、Gradle、pip、PyPI、Conda、Bun、Ivy、Scala Build Toolのパッケージレジストリおよびビルドツールの認証情報
  • Claude、Gemini、Codex、Cline、OpenCode、Kiloに関連する設定・認証・セッション・プロジェクトデータ
  • Bitcoin、Litecoin、Dogecoin、Dash、Ethereum、Monero、Zcash、Exodus、Atomic Wallet、Electrumの暗号資産ウォレットおよびキーストア
  • ブラウザ履歴・ブックマーク、シェル履歴、データベースクライアントファイル、PGPデータ、SSH設定、OS情報

研究者は、侵害されたSimpleHelpのインスタンスがMSPのものかどうかは明らかにしていません。しかし、MSP各社に対してSimpleHelpへのパッチ適用とアクセス制限を直ちに実施し、過去の悪用がなかったか調査するよう強く勧告しています。

「最も深刻な被害は、元のエンドポイントが隔離された後に発生する可能性があります」と研究者らは付け加えています。

「盗み出されたクラウドキー、パッケージ公開トークン、ソースコントロールセッション、SSHキー、またはAI連携の認証情報は、侵害されたRMMサーバーとは独立してアクセスを維持できます。これらの認証情報を悪用すれば、攻撃者は元のマルウェアを再展開することなく、信頼されたサービスを通じて環境に再侵入し、ソフトウェアを改ざんし、本番データにアクセスし、あるいは顧客テナントへ展開を広げることが可能です。

CISAはCVE-2026-48558をKnown Exploited Vulnerabilities(KEV)カタログに追加し、BOD 26-04指令に基づき、米国連邦政府の民間機関に対して7月7日までに緩和策を適用し、影響を受けるシステムのフォレンジックトリアージを実施するよう指示しています。

翻訳元: https://www.helpnetsecurity.com/2026/06/30/simplehelp-vulnerability-exploited-cve-2026-48558/

ソース: helpnetsecurity.com
#CISA KEV #CVE-2026-48558 #Djinn Stealer #MSP #RMM #SimpleHelp #TaskWeaver #クラウド認証情報窃取 #情報窃取マルウェア #認証バイパス

関連記事

Aikido Security、Rootを買収――オープンソース脆弱性へのバックポート修正を拡大

Cequence Platform 9.0、AIによるAPIセキュリティとコンプライアンスの簡素化を実現

Oracle E-Business Suite Paymentsの脆弱性が攻撃対象に(CVE-2026-46817)