TokyoBlackHatNews

gbhackers.com 4分で読了

脅威アクターが武器化されたPDFファイルを通じてRMMツールを悪用

脅威アクターは、正規のリモート監視・管理(RMM)ツールを悪用し、武器化されたPDFファイルを無防備なユーザーに配布する高度なキャンペーンを展開しています。

AhnLab Security Intelligence Center(ASEC)は最近、正規のシステム管理のためにマネージドサービスプロバイダーやITチームが一般的に使用するSyncro、SuperOps、NinjaOne、ScreenConnectのツールを利用した複数の攻撃チェーンを発見しました。

この発見により、攻撃者が少なくとも2025年10月以降、この運用インフラを維持してきたことが明らかになりました。

攻撃キャンペーンは、メールフィッシングで配布される偽装PDF文書から始まります。「Invoice_Details.PDF」「Defective_Product_Order.pdf」「Payment_error.pdf」といった無害そうな名前のファイルが、感染チェーンへの入口として機能します。

ユーザーがこれらの文書を開くと、実際のPDF内容を覆い隠す高解像度画像、または「Failed to load PDF document(PDFドキュメントの読み込みに失敗しました)」というエラーメッセージが表示され、埋め込まれたリンクをクリックするよう促されます。

この攻撃は高度なソーシャルエンジニアリング手法を利用しています。一部の亜種は、動画ファイル「Video_recorded_on_iPhone17.mp4」を装った偽のGoogle Driveページへユーザーを誘導します。

Image
Google Driveのフィッシングページの画面。

一方で、別のものは「adobe-download-pdf[.]com」にある偽のAdobeダウンロードページへリダイレクトします。これらの偽装は、RMMインストーラーではなく正規のメディアファイルやPDFリーダーをダウンロードしているとユーザーに信じ込ませるうえで効果的です。

脅威アクターは従来型のマルウェアを配布するのではなく、正規のRMMソリューションを武器化することで、いわゆるLiving-off-the-land(環境寄生)アプローチを採用しています。

この戦略が特に有効なのは、RMMツールがセキュリティ制御を回避し、企業環境内で透過的に動作するよう設計されているためです。

従来のバックドアやリモートアクセス型トロイの木馬(RAT)とは異なり、これらのツールはマルウェアのシグネチャや振る舞い分析に依存するセキュリティ製品による検知を回避します。

Image
SyncroのWebサイト。

Syncro RMMは、このキャンペーンにおける主要な侵入ベクターとして機能しています。ASECは、2025年後半を通じて集中的に配布された、有効な証明書でデジタル署名されたマルウェアサンプルを特定しました

インストールパラメータの分析により、複数のサンプルで一貫した「key」と「customer ID」の値が確認され、同一の脅威アクターグループによる協調的なキャンペーン活動が示唆されました。

同様の悪用パターンは、ALPHV/BlackCatやHiveといったランサムウェアギャングを含む主要なランサムウェア運用者が使用しているScreenConnectにも影響しており、SuperOpsおよびNinjaOneプラットフォームと並んで悪用されています。

技術インフラ

攻撃インフラにはRMMインストーラーだけでなく、NSISスクリプトで開発された二次ダウンローダーも含まれています。

これらのダウンローダーには追加ペイロードを取得するための埋め込みコマンドが含まれており、インフラは以前にNinjaOneの配布と関連付けられていました。

Image
NinjaOne RMMをインストールするためのNSISインストーラー。

悪意のあるスクリプトにはNinjaOne固有のキーワードが含まれており、攻撃者が複数の配布チャネルに対する持続的な制御を維持していたことを示しています。

証明書の分析により、2025年10月から現在に至るまでの協調的な活動が明らかになり、複数のRMMプラットフォームを標的とする多様なマルウェアサンプルにおいて同一の署名資格情報が使用されていました。

これは、企業向けツールのエコシステムに深い知識を持つ単一の脅威アクターグループ、またはインフラを共有する複数のアクターによる協調キャンペーンのいずれかを示唆します。

組織は、この脅威ベクターに対して多層防御を実装する必要があります。メールフィルタリングでは、疑わしいPDF添付ファイル、特に財務・注文・支払い関連の命名規則を持つものを特定して隔離すべきです。

セキュリティ意識向上トレーニングでは、不明な送信者からの添付ファイルを開くリスクと、操作する前に送信者の正当性を確認する重要性を強調すべきです。

技術的な対策には、OSとセキュリティソフトウェアを常に最新の状態に保つこと、不要なリモートアクセスツールを無効化すること、そしてRMMのインストール試行を監視することが含まれます。

不審なRMMツールのダウンロードおよびインストールを監視するネットワークレベルの制御は、追加の検知レイヤーを提供します。

また、組織はアプリケーションのホワイトリスト化を実装して不正なRMMインストールを防止し、ユーザーには公式ベンダーチャネル経由でのみダウンロードを検証することを求めるべきです。

翻訳元: https://gbhackers.com/weaponized-pdf-files/

ソース: gbhackers.com
#Google Driveなりすまし #Living-off-the-Land攻撃 #NinjaOne #RMMツール悪用 #ScreenConnect #Syncro #ソーシャルエンジニアリング #フィッシングメール #偽Adobeダウンロードサイト #武器化PDF

関連記事

Cursor AI コーディングエージェントの脆弱性により、攻撃者は開発者のマシンでコードを実行できる

CISAがConnectWise ScreenConnectの脆弱性が攻撃で悪用されていることを警告

米国、サイバー侵入の疑いでScattered Spider メンバーを起訴