システム全体のテレメトリを定期的に診断していたところ、Point Wildの専門家は、GoTo Resolveのリモートアクセス・フレームワークと密接に関連する、潜在的に不要なアプリケーションを特定しました。このユーティリティは表向きはIT担当者による正当な管理運用のために設計されていますが、その強力な機能は、組織のセキュリティに重大な脅威をもたらす活動を助長する形で悪用される可能性があります。
フォレンジック調査の結果、実行ファイルGoToResolveUnattended.exeは、ユーザーの介入を必要とせずにエンドポイントを遠隔操作できるGoTo Resolve Unattended Accessスイートの主要コンポーネントであることが判明しました。憂慮すべきことに、インストールは目立った通知なしに進行し、実行されると秘匿されたバックグラウンドスレッドを開始します。このアプリケーションはシステム内に恒久的に常駐し、ディレクトリC:\Program Files (x86)\GoTo Resolve Unattendedに隔離される形で配置されます。
このバイナリにはGoTo Technologies USA, LLCによる有効なデジタル署名が付与されていますが、その認証は、標準的なセキュリティプロトコルを迂回してツールが展開された場合の不正流用リスクを排除するものではありません。この種のユーティリティは、サイバー攻撃者によって、秘匿されたリモートアクセスの経路、悪意あるペイロードの展開、あるいはユーザーの認識外での不正な操作の実行手段として、しばしば悪用されます。
特に重大な警戒サインとして、動的リンクライブラリRstrtMgr.dllの読み込みが挙げられます。これは高度なランサムウェアやワイパーのキャンペーンで以前に確認されたコンポーネントです。このライブラリは、データ暗号化などの悪意ある活動を妨げ得るプロセスを終了させることを可能にします。このDLLの存在は、フォレンジック分析を回避し、侵害されたホストを完全に支配するための計画的な試みを強く示唆します。
さらに、精査対象のアーカイブ内で、インストールおよび管理に関する指示を含む補助ファイルが発見されたことは、秘匿された展開メカニズムの存在を一層裏付けるものであり、不正利用のリスクを高めます。その後、 softwareは、UltraAVエンジンにより、ヒューリスティックな分類名HEURRemoteAdmin.GoToResolve.genの下でフラグ付けされ、企業および個人のインフラの双方における潜在的な危険性が確認されました。厳格な監督がない場合、この種のソフトウェアは攻撃対象領域を大幅に拡大し、二次的な悪性コンポーネントの主要な侵入口として機能します。
専門家は、未承認のサードパーティ製アプリケーションの制限、ネットワークエンドポイントの継続的な監視、そしてリモート管理ツールに内在するリスクに関する従業員の認識向上など、強固な予防策の実施を提唱しています。明示的な許可なくこの種のソフトウェアが検出された場合は、直ちに削除することが強く推奨されます。
