フィッシングキャンペーン、eカードを悪用してRMMツールを展開

6か月にわたるフィッシングキャンペーンが、WindowsおよびmacOSユーザーを騙し、偽の電子グリーティングカード(eカード)を通じて正規のリモート監視管理(RMM)ソフトウェアをインストールさせていたことが分かりました。

Forescoutが7月14日に発表した新たな調査によると、同社が「SeasonalInvite」と名付けたこのキャンペーンは少なくとも2026年1月から活動しており、6月下旬時点でもペイロードの配布を続けていました。

このキャンペーンの特徴は、季節に合わせて次々と変化する誘導文句にあります。冬は税金や社会保障をテーマにし、その後はバレンタインデー、イースター、春の招待状へと移り変わっていきました。

研究者らは、フィッシングメールや汚染された検索結果で使用された959個のドメインを特定しました。被害者はトラフィック分配システム(TDS)によってスクリーニングされた後、グリーティングカードサービスのBlueMountainになりすましたページに誘導されます。このページはローディングアニメーションを表示し、3秒後にOS別のインストーラーを自動的にダウンロードさせる仕組みでした。

RMM悪用に関する関連記事: 新たなフィッシングキャンペーン、ConnectWise ScreenConnectを悪用してデバイスを乗っ取り

正規ツールを悪用し、攻撃者がコンソールを掌握

調査により、商業的に署名された4つのRMM製品、ConnectWise ScreenConnect、LogMeIn Resolve、Kaseya、そしてドイツ製ツールのO&O Syspectrが悪用されていたことが確認されました。インストーラーは正規のもので有効な署名が付いていたため、通常のマルウェアを検知するはずのセキュリティチェックをすり抜けていました。

Windowsでは、バッチファイルおよびVBScriptのドロッパーがインストーラーを取得し、自らを再起動してユーザーアカウント制御(UAC)プロンプトを発生させます。これにより、被害者は権限昇格を伴うインストールを承認するよう求められる形になりますが、バイパスされることはありませんでした。

macOS向けの配布経路は2段階に分かれており、署名済みのKaseyaパッケージと、登録先を攻撃者のサーバーへリダイレクトする別個のconfig.dataファイルを組み合わせていました。これは、マネージドサービスプロバイダー向けに構築された無人展開機能を悪用したものです。

また、それぞれのランディングページは訪問者のIPアドレス、所在都市、ブラウザ情報をひそかに収集し、バックエンドに送信していました。これにより、攻撃者はページに到達した全員の記録を把握できる仕組みになっていました。

AIが組み立てたキットの痕跡

このフィッシングページには、AI生成コードを示す痕跡が複数見られました。絵文字を先頭に付けたタスクコメントや、「最初のスニペット」と「2番目のスニペット」を組み合わせるといった記述がその例です。

Forescoutは、攻撃者が大規模言語モデル(LLM)を利用し、OS検出機能、Telegramを介した報告機能、アニメーション処理を備えた単一のランディングページへとコードの断片をつなぎ合わせた可能性が高いと評価しています。これにより、新たな亜種を作成するコストが下がっているとみられます。

TDS自体も、より大規模な共有プラットフォームである様子がうかがえます。このゲートページの指紋(フィンガープリント)に一致するページを検索したところ、2658件のURLが見つかりました。その多くは自動スキャナーからは無害に見える一方、実際のユーザーだけをひそかに次の段階へ誘導していました。

すべてのURLがSeasonalInviteの指紋と一致していたわけではないことから、Forescoutはこのシステムが複数の無関係なフィッシング作戦に同時に利用されている可能性を指摘しています。Microsoftも3月に、同一の作戦が税金をテーマにした誘導文句を用いていた際、重複するインフラを別途文書化していました。

Forescoutは各組織に対し、承認済みのRMMツールの一覧を管理し、それ以外のツールが検出された場合は警告を発すること、季節性の誘導文句に対するメールフィルタリングを強化すること、そして本物のeカードであればリモートサポートソフトウェアのインストールや権限昇格プロンプトの承認を求めることは決してない、と従業員に周知徹底することを推奨しています。

翻訳元: https://www.infosecurity-magazine.com/news/seasonalinvite-phishing-ecards-rmm/

ソース: infosecurity-magazine.com