Proofpoint の研究者は先月下旬、犯罪者がリモートモニタリング・管理ソフトウェア(RMM)を好みの攻撃ツールとして悪用する増加傾向における「奇妙なひねり」として説明するものを発見しました。
これらの犯罪者は、月間300ドルのエンタープライズソフトウェアを販売していると主張する完全に架空のRMMベンダーを作成しました。実際には、サービスとして販売されているリモートアクセストロジャン(RAT)です。これを RATaaS と呼びましょう。
マルウェアの背後にいる犯罪者は、自分たちの製品を合法的に見えるようにするために細心の注意を払い、TrustConnect という名前を付けました。彼らは架空のビジネスウェブサイトを構築し、正当な Extended Validation コード署名証明書を取得して、マルウェアにデジタル署名を行い、セキュリティコントロールを回避できるようにしました。
最初は、詐欺師たちは Proofpoint の脅威ハンター自身さえも騙していました。「当初、TrustConnect は悪用されている別の正当な RMM ツールのように見えていた」と同社の研究チームは木曜日の投稿で述べました。
犯罪者は正当な商用ソフトウェアを悪意のある目的に使用することを好みます。これにより、エンタープライズIT環境内に身を隠しやすくなるからです。
この1年ほどの間に、RMMツールは攻撃者の必須リストの最上位に移動しました。多くの選択肢があり、企業はすでにこれらのツールの多くを使用して信頼しており、被害者のマシンへの直接的なリモートパイプラインを提供してランサムウェアをデプロイし、情報盗難ツールおよび他のマルウェアをデプロイし、感染したシステムへの長期的なアクセスを維持します。
セキュリティ企業 Huntress は、今週発表された年次サイバー脅威レポートで、急増する RMM 悪用を指摘し、2025年は前年比277パーセント増加し、観測されたすべてのインシデントの24パーセントを占めています。
信頼(接続)の悪用
ドメイン trustconnectsoftware[.]com は1月12日に作成され、そこのウェブサイトは Proofpoint によると、おそらく AI によって作成されました。
「マルウェア作成者は、ドメインを『ビジネスウェブサイト』として使用して、顧客統計やソフトウェアドキュメンテーションなどの偽の詳細を提供することで、ソフトウェアが正当な RMM アプリであることを公開(証明書提供者を含む)に確信させるために設計しています」とチームは書きました。
このウェブサイトは、犯罪者がサービスを使用するための月額サブスクリプションを購入する(暗号通貨経由)場所でもあり、マルウェアの指令統制(C2)センターとして機能します。
このドメインは、マルウェアオペレーターがマルウェアに署名するための正当な EV 証明書を購入しやすくしたと思われます。証明書は2月6日の時点で取り消されていますが、それ以前に署名されたファイルは有効なままです。Proofpoint は、証明書の取り消しを支援してくれた The Cert Graveyard の研究者にクレジットを与えています。
178[.]128[.]69[.]245 でホストされているマルウェアの C2 は、2月17日の時点で Proofpoint および匿名の業界パートナーによって無効化されました。ただし、オペレーターが新しいインフラストラクチャーをすばやくセットアップし、RAT の再ブランド化されたバージョンのテストを開始したため、ビジネスに支障が出ているようには見えません。
「このレポート発表の直前に、Proofpoint アナリストは『DocConnect』または『SHIELD OS v1.0』と呼ばれる新しいエージェントペイロードへの転換と並列インフラストラクチャーのテストを特定しました」と研究者は書きました。
この RAT はユーザーのマシンにバックドアを開き、攻撃者にマウスとキーボードの完全な制御を与え、被害者の画面を記録およびストリーミングすることを可能にします。ファイル転送、コマンド実行、ユーザーアカウント制御バイパスなどの他の典型的なリモートデスクトップ管理機能も提供します。
Redline 情報盗難ツールとの関係
Proofpoint は、Telegram ハンドル @zacchyy09 に基づいて、TrustConnect マルウェアを「中程度の信頼度で」Redline 情報盗難ツール顧客に帰属させています。これは TrustConnect ウェブサイトのサポートおよび販売問い合わせ用の連絡先情報であり、このハンドルは2024年10月の Redline および META 情報盗難マルウェアを排除するための合同法執行取り組みであるOperation Magnus でVIP 顧客としても言及されていました。
ブログでは、脅威ハンターは1月26日に開始されたフィッシングキャンペーンを含む、架空の RMM を配布するために使用された複数のキャンペーンの詳細を説明しています。英語とフランス語の両方で送信されたメールは、プロジェクト提案を送信して入札するための招待状のふりをしており、「完全なプロジェクトパッケージ」への悪意のあるリンクが含まれていました。
その URL は MsTeams.exe という実行ファイルにリンクし、TrustConnectAgent.exe という別の実行ファイルをドロップして、TrustConnect RAT C2 サーバーと通信します。
TrustConnect を配布する犯罪者が使用する他のおとりについては、税金、共有ドキュメント、会議招待状、イベント、政府テーマに関するものが言及されています。
さらに、複数のキャンペーンが ScreenConnect や LogMeIn Resolve を含む異なる正当な RMM を TrustConnect と並行して提供していました。
「正当なリモートエンタープライズツールの並行使用および追跡マルウェアとしての使用は、この RAT がこれらのツールを悪用する脅威アクターの全体的なエコシステムに非常に組み込まれており、MaaS プロバイダーがキャンペーンで実際の RMM ペイロードおよびインフラストラクチャを悪用しているのと同じ顧客に売却している可能性が高いことを示唆しています」と Proofpoint は指摘しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/19/rmm_rat_trustconnect/
