新たなフィッシングキャンペーンが、被害者を騙してConnectWise ScreenConnectのリモート監視・管理(RMM)ソフトウェアをダウンロードさせ、攻撃者がエンドユーザーデバイスを完全に制御できるようにしています。
Abnormal AIのレポートによると、脅威アクターは正規のRMMツールを悪用してリモートシステム制御を実現し、アカウント乗っ取りや横方向フィッシングなどの後続攻撃を容易にしています。
研究者らは、進行中のこのキャンペーンが、従来は認証情報や財務情報などの個人情報を被害者から引き出すことに依存していたフィッシング手法の大きな進化を示していると述べています。
「IT専門家がトラブルシューティングやメンテナンスのために深いシステムアクセスを得るために設計された正規のIT管理ツールの武器化と、ソーシャルエンジニアリングや巧妙なビジネスなりすましを組み合わせることで、多層的な欺瞞が生まれ、攻撃者は信頼の悪用とセキュリティ回避の両方の利点を得ることができます」と彼らは記しています。
このキャンペーンはこれまでに900以上の組織を標的とし、幅広い業種や地域に影響を及ぼしています。
ScreenConnectをキャンペーンに利用することは、ダークウェブのベンダーが正規のソフトウェアプロバイダーのように活動する、より成熟した犯罪エコシステムを示しているとも研究者らは付け加えています。
「サイバー犯罪者は、フォーラムや暗号化メッセージアプリ、匿名ウェブページなど、さまざまな形でScreenConnectを入手できます」と彼らは指摘しています。
これらの提供の中には、導入だけでなく再販に焦点を当てたものもあります。例えば、ベンダーがドイツ、英国、中国のネットワークに対してドメイン管理者レベルのScreenConnectアクセスを提供しているのが観察されており、通常は90~345台のホストの制御が含まれています。
多段階の攻撃チェーン
8月26日に公開されたAbnormal AIのレポートでは、この多段階攻撃がフィッシングメールから始まることが観察されています。メールは日常的なビジネスコミュニケーションや親しみやすいやり取りを装っています。
よく使われる誘引の一つは偽のZoom会議招待で、「Meeting Invite – 2024 Tax Organizer SID:80526353241」のようなタイムリーな件名を使い、税務シーズンに関連付けてメッセージの信憑性を高めています。
メールには見慣れたブランドロゴが使われ、信頼性を高めて検出を回避するために、侵害された正規アカウントから送信されています。
「この特定のケースでは、攻撃者は本物のZoom通知メールを見つけ、コール・トゥ・アクション(CTA)だけを修正して、さらに本物らしさを強調しているようです」と研究者は指摘しています。
あるケースでは、攻撃者が既に本物のZoom会議招待が含まれていた進行中のスレッドを乗っ取り、悪意のあるリンクを挿入しました。
他のフィッシング誘引としては、偽のMS Teams通話への招待も含まれます。
リンクがクリックされると、ターゲットは悪意のあるサイトにリダイレクトされ、攻撃の第2段階が開始されます。
このサイトは、ユーザーに該当するビデオ会議プラットフォームの更新版をダウンロードするよう促しますが、実際にはScreenConnect RMMソフトウェアです。
組織ですでに正規目的でScreenConnectが導入されている受信者は、即座に攻撃者が制御するライブScreenConnectセッションに接続されます。既存のScreenConnectインストールがないターゲットの場合、これらのリンクをクリックするとScreenConnectクライアントソフトウェアの自動ダウンロードが促されます。
「この手法は、多くの組織が正規のリモートサポート目的でScreenConnectを既に導入しているという事実を悪用し、脅威アクターがインストールプロセスを完全に回避できるようにしています」と研究者は述べています。
目立たない侵害後の活動
一度ダウンロードされると、脅威アクターはScreenConnect本来の機能を武器化し、IT管理者と同等の包括的なシステムアクセスを実現できます。
これにより、セキュリティ制御の回避、ファイルシステムの操作、永続的なアクセスの確立、機密データの流出など、幅広い侵害後の活動が可能になります。
攻撃者が侵害した環境を利用して、組織内の追加ターゲットを侵害する横方向フィッシングキャンペーンに転じていることも観察されています。
「彼らは通信パターンを分析し、価値の高いターゲットを特定し、信頼できる内部ソースから送信されたように見えるフィッシングメッセージを作成します」とAbnormal AIは記しています。
これらのフィッシングメールの多くは、最終的に組織内でのScreenConnectのさらなる展開を狙っています。
ターゲットのアカウントから直接フィッシングメールを送信することで、外部からのフィッシング試行を検知するセキュリティ制御を回避できます。
ScreenConnectの悪用から身を守るには
Abnormal AIの研究者は、脅威アクターによる正規RMMツールの悪用が増加していることへの対応を組織に呼びかけています。
これには、これらのツールのネットワーク上での包括的な監視体制の確立、無許可のインストールや不審な使用パターンへの注視が含まれます。
さらに、組織は従業員向けのトレーニングプログラムを更新し、フィッシング攻撃時を含め正規ソフトウェアの悪用について認識を高めるよう助言しています。
「このキャンペーンは、現代の脅威が信頼されたシステム自体を武器化する傾向が強まっていることを痛感させます。そのため、防御側は脅威の検知と対応に対するアプローチを根本的に見直す必要があります」と研究者は指摘しています。
Abnormal AIはInfosecurityに対し、本調査についてConnectWiseとは一切連絡を取っていないと述べています。
Infosecurityは本調査結果についてコメントを求めてConnectWiseに連絡しましたが、執筆時点では回答を得ていません。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-abuses-connectwise-take/