脅威アクターは武器化したPDF添付ファイルを用いてユーザーを欺き、偽装された配布ページからRMMインストーラーをダウンロードして実行させています。マルウェアの署名証明書は、このキャンペーンが少なくとも2025年10月以降に活動していることを示しています。
悪意のあるPDFファイルは、請求書、製品注文、支払い問題に言及する紛らわしい命名規則を採用しており、メール配布を想定した典型的なフィッシング手口です。
実行すると、これらのPDFはユーザーにGoogleドライブのリンクをクリックするよう促す高品質な画像を表示するか、または「Failed to load PDF document(PDFドキュメントの読み込みに失敗しました)」というエラーを表示して「adobe-download-pdf[.]com」へ誘導し、正規のAdobeサービスになりすます手口を用います。
続くフィッシングページはGoogleドライブのインターフェースを装い、「Video_recorded_on_iPhone17.mp4」のような誤解を招くファイル名を提示して信頼性を高めます。
ダウンロードされたファイルはさらに、「Video_recorded_on_iPhone17.mp4 Drive.google.com」のような命名パターンで難読化され、正規のメディアファイルに見えるようにされています。
このキャンペーンは、Syncro、ScreenConnect、NinjaOne、SuperOpsなど複数のRMMプラットフォームを標的としており、いずれもMSPやITチーム向けに設計された正規のツールです。
RMMソリューションは正当なリモート管理機能を提供する一方で、セキュリティ製品が通常これらのアプリケーションをホワイトリスト登録しているため、脅威アクターはそれを悪用し、従来の検知メカニズムを回避できてしまいます。
キャンペーン中に配布されたSyncroインストーラーは有効な証明書で署名されており、特定のキーや顧客IDの値を含む設定パラメーターが含まれていました。これは、2025年後半を通じて同一の脅威アクター集団による協調的な作戦が行われていたことを示唆します。
過去の事例はRMMの広範な悪用を示しています。SyncroはChaosやRoyalを含むランサムウェア運用者に利用され、ScreenConnectはALPHV/BlackCatおよびHiveランサムウェア集団に悪用されてきました。
組織は、不明な送信元からのメール添付ファイル、特に金融取引やドキュメントエラーに言及するものを扱う際には、より一層の注意を払うべきです。
不審なリンクを開く前に、メール認証プロトコルを検証する必要があります。既知の脅威に対抗するため、OSおよびセキュリティソリューションを最新の状態に保つことは引き続き重要です。
このキャンペーンは、正規のエンタープライズツールが敵対者によって武器化されたときに持つ諸刃の性質を浮き彫りにしています。
翻訳元: https://cyberpress.org/rmm-tools-exploited-weaponized-pdf-malware/