正当なリモート監視・管理(RMM)ツールを悪用したフィッシング主導の新しい侵害の波が記録されており、攻撃者は個人および企業アクセスの両方を得るために偽のPayPalアラートを使用しています。
火曜日にCyberproofが発表した勧告に記録されたこの活動は、季節的な誘いから高緊急性の金融テーマへの転換を示しており、信頼できるリモートアクセスソフトウェアが検出を回避するための武器として継続的に悪用されていることを浮き彫りにしています。
以前の波はホリデーパーティの招待状、税務通知、文書署名要求などのおとり役メッセージに依存していました。一方、最新のインシデントは即座の行動を促すために設計された偽のPayPal警告を悪用しています。
個人アカウントから企業の足がかりへ
CyberProofの研究者は、顧客環境全体で6つのインシデントを調査しました。その中には、従業員の個人PayPalアカウントが初期エントリーポイントとなったケースも含まれています。
2026年1月5日、同社の管理検出・対応(MDR)チームは、後に企業アクセスにエスカレートした疑わしい活動を特定しました。
攻撃は詐欺的なPayPalメールで始まり、その後電話ベースのソーシャルエンジニアリングが続きました。サポートスタッフに成りすまし、攻撃者は被害者に正当なリモートアクセスソフトウェアをインストールするよう説得しました。
LogMeIn Rescueが最初にデプロイされた後、脅威アクターはアクセスを維持するためにAnyDeskにシフトしました。侵害中にエンドポイント検出・対応(EDR)アラートは発動されませんでした。
RMMツール悪用と防御についての詳細を読む:リモートコントロール・サイバー犯罪:MSP向けRMM保護ガイド
RMM冗長性とセキュリティ推奨事項
背景として、1つのRMMツールを使用して別のツールをインストールする攻撃者の手口は、最近Broadcomの調査でも指摘されたパターンです。
このアプローチは、検出の可能性を減らし、試用ライセンスを循環させて有効期限を回避することを目的としているようです。
これらの攻撃からのアーティファクトには、複数のLogMeIn Rescueバイナリと活動中のリモートセッションの確認が含まれていました。
永続性はスケジュール実行タスクとGmailスタイルの名前に偽装されたスタートアップショートカットを通じて達成されました。この戦術は、通常のシステムアクティビティに溶け込み、定期的なチェック中に疑いを引き起こさないように設計されていました。
「このキャンペーンの直接的な動機は金銭的に見えますが、長期的なリスクは重大です」と、Cyberproofが警告しています。
「これらのRMM『バックドア』を通じて得られたアクセスは、高度な持続的脅威(APT)アクターに売却される可能性があり、企業の完全な侵害またはランサムウェアのデプロイメントにつながる可能性があります。」
同様の脅威に対処するために、サイバーセキュリティ企業はフィッシング対策を強化し、一般的なRMMポートへのネットワークアクセスを制限し、RDPなどのリモートサービスの露出を回避することを推奨しました。
また、ゼロトラスト・セキュリティモデルの一部として、オフラインバックアップを維持し、サードパーティRMMツールのリスクを評価し、セキュリティソフトウェアを最新の状態に保ち、ユーザー教育を強化することを組織に促しました。
画像クレジット:Samuel Boivin / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/hackers-fake-paypal-notices-deploy/
