新たな攻撃の波が、LogMeIn Resolve(旧GoToResolve)やPDQ Connectなどの正規のリモート監視・管理(RMM)ツールを悪用し、被害者のシステムを遠隔操作しています。従来のマルウェアを仕込むのではなく、攻撃者はこれらの信頼されたITサポートプログラムを日常的なユーティリティに偽装し、インストールするよう人々を騙します。一度インストールされると、このツールは攻撃者に被害者のマシンへの完全なリモートアクセスを与え、ソフトウェア自体が正規品であるため、多くの従来のセキュリティ検知を回避します。
最近、正規のGoToResolve/LogMeIn Resolve RMMツールの不審な使用を検知する検出名RiskWare.MisusedLegit.GoToResolveのテレメトリが増加していることに気付きました。
当社のデータによると、このツールはいくつかの異なるファイル名で検出されました。以下はテレメトリからの例です:
ファイル名からも、ターゲットがどのようにしてこのツールをダウンロードするよう騙されたかの手がかりが得られます。
以下は、ポルトガルの誰かに送られた翻訳済みメールの例です:
ご覧の通り、リンクにカーソルを合わせるとDropboxにアップロードされたファイルを指していることが分かります。正規のRMMツールとdropbox[.]comのような正規ドメインを使うことで、このようなメールをセキュリティソフトが検知しにくくなります。
他の研究者も、攻撃者がNotepad++や7-Zipなどの人気フリーソフトのダウンロードページを模倣した偽サイトを設置する手口を報告しています。
この悪意あるリンクをクリックすると、攻撃者固有の「CompanyId」が事前設定されたRMMインストーラーが配布されます。これは被害者のマシンを攻撃者の管理パネルに直接紐付けるハードコードされた識別子です。
このIDにより、攻撃者は追加の認証情報やカスタムマルウェアを必要とせず、感染した新しいシステムを即座に特定し接続できます。正規ツールがアカウントにシームレスに登録されるためです。ファイアウォールや他のセキュリティツールも、RMMは管理者権限で動作する設計のため、その通信を許可しがちです。その結果、悪意あるアクセスが通常のIT管理トラフィックに紛れ込んでしまいます。
安全を守るために
信頼されたITツールを悪用することで、攻撃者は従来のマルウェアよりも巧妙かつ持続的な攻撃を仕掛けています。ダウンロード元への注意と意識が最大の防御策です。
- 必ず公式ウェブサイトや信頼できるソースからソフトウェアをダウンロードしてください。
- インストール前にファイルの署名や証明書を確認しましょう。
- 予期しないアップデート通知は、別の信頼できる手段で確認してください。
- OSやソフトウェアを常に最新の状態に保ちましょう。
- 最新のリアルタイムマルウェア対策ソリューションを使用してください。Windows版Malwarebytesには、デスクトップ上のリモートアクセスツールの検出を通知するプライバシーコントロールが搭載されています。
- 悪意あるダウンロードを促すソーシャルエンジニアリングの手口を見抜く方法を学びましょう。
