サイバー犯罪者は、Notepad++や7-Zipといった人気ツールを模倣した偽サイトでユーザーをだましています。これらのサイトは、マルウェアを仕込んだ リモート監視および管理(RMM)ツールを配布します。
AhnLabのSecurity Intelligence Center(ASEC)によると、攻撃者はシステム侵害後だけでなく、最初の感染段階からRMMソフトウェアを使用するようになっています。
この変化により、初期検知がより困難になります。RMMツールは攻撃者に感染端末の遠隔操作を可能にし、基本的なアンチウイルススキャンを回避します。
RMMソフトウェアは、パッチ適用や監視などの作業のためにITチームがデバイスを遠隔管理するのに役立ちます。しかしハッカーは、リモートアクセス型トロイの木馬(RAT)と同様に、これをバックドアとして悪用します。
これらのツールは正規に見えるため検知を回避します。通常の管理者操作を模倣するため、従来のアンチウイルスでは対処が難しいのです。
AhnLab EDR(Endpoint Detection and Response)は、振る舞い分析によってこれらの脅威を検知します。振る舞いベースのエンジンを備えた韓国唯一のソリューションです。
不審な行動に関するデータを収集し、管理者に警告し、根本原因の追跡を支援します。これにより迅速な対応が可能になり、再発防止にもつながります。
ASECは、偽のダウンロードページへ誘導する広告を確認しました。サイトはNotepad++、7-Zip、Telegram、ChatGPT、そしてOpenAIのページを偽装しています。
被害者は無料ユーティリティを入手しているつもりでも、実際には遠隔サポートやパッチ適用に使われる正規のRMMツールであるLogMeIn Resolveをダウンロードしてしまいます。
インストールされると、LogMeInは端末を攻撃者のサーバーに登録します。その後ハッカーはPowerShellコマンドを実行し、ステルス性の高いバックドアであるPatoRATを投下します。
同様の手口では、ソフトウェア配布や資産管理に使われる別のRMMであるPDQ Connectも利用されます。いずれもPatoRATのインストールにつながります。
AhnLab EDRは、LogMeInおよびPDQ Connectの実行を脅威として検知し、管理者が確認できるログを提示します。
攻撃者は「Invoice(請求書)」「Product Order(製品注文)」「Payment(支払い)」といった名前のフィッシングPDFも送信します。「高品質」を理由にプレビューが失敗するように見せかけ、Google Driveリンクのクリックを促します。
これにより、ChaosおよびRoyalランサムウェア集団に加え、イランのMuddyWater APTグループも使用するRMMであるSyncroが投下されます。
同一の署名付きマルウェアが、ScreenConnect(ALPHV/BlackCatおよびHiveランサムウェアに悪用)、NinjaOne(クラウドIT管理)、SuperOps(MSP向けリモートアクセス)を拡散しています。これらは2025年10月以降、1つの証明書で署名されています。
ユーザーは必ず公式サイトからのみダウンロードしてください。インストール前にファイルのバージョンと証明書を確認しましょう。怪しいメールは避け、送信者を確認し、リンクや添付ファイルは開かないでください。OSとセキュリティツールを最新の状態に保ちましょう。
組織は、AhnLabのようなEDRを導入して振る舞い監視を行うべきです。ポリシーにより不明なRMMのインストールをブロックしてください。フィッシングの危険サインについて従業員を教育しましょう。
この波はRMM悪用の急増を示しています。早期検知が、システムの完全な乗っ取りを防ぎます。
翻訳元: https://cyberpress.org/fake-sites-distribute-spyware/