脅威アクターが正規のリモート監視・管理(RMM)ツールを悪用して企業ネットワークに侵入し、永続的なアクセスを確立しています。
この戦術により、攻撃者は悪意のある活動を日常的な管理タスクに偽装することで、従来のセキュリティ防御をバイパスできます。
RMM悪用の急増
リモート管理ソフトウェアの悪用は、あらゆるスキルレベルのサイバー犯罪者にとって主要な初期アクセスベクトルになっています。
最近のインテリジェンスによると、RMM悪用は昨年277%急増し、観測されたセキュリティインシデント全体のほぼ4分の1を占めています。
攻撃者は従来のマルウェアを放棄し、これらの信頼されている管理アプリケーション全体を中心に運用プレイブックを構築し、ペイロードを配置して認証情報を盗んでいます。
最近の侵入で観測されている顕著な手法は、異なるリモートアクセスツールをチェーン接続して、セキュリティテレメトリを断片化することです。
ハッカーはAction1などの脆弱性管理ソフトウェアを悪用して、Microsoftインストーラーパッケージを介してScreenConnectなどの二次リモートアクセスクライアントを静かに配置しています。
このアプローチは正規に署名されたデプロイメントパッケージに依存しており、ネットワーク防御者の属性の特定と封じ込めの努力を複雑にしています。
スキルが低い攻撃者は、これらの侵入で使用されるデプロイメントスクリプトを生成するために大言語モデルにますます依存しています。
これらのスクリプトは暗号通貨と金融プラットフォームのブラウザ履歴を正常にパースしますが、しばしば技術的成熟度を欠いています。
複数の観測されたケースでは、生成されたコードはデータ流出APIを適切に実装できず、収集されたデータがローカルに取り残されています。
欺瞞的なフィッシング餌
脅威アクターは、予測可能なテーマを中心とした幅広いソーシャルエンジニアリング キャンペーンを通じてこれらの管理ツールを頻繁に配置しています。
被害者は、高度にカスタマイズされた心理的トリガーを通じて、悪意のあるファイルをダウンロードするよう操作されます。
- 攻撃者は税務シーズン中に社会保障庁などの政府機関になりすまします。
- キャンペーンは、インストーラーファイルを秘密裏に実行する偽の会議RSVPとパーティの招待状を配布しています。
- フィッシングページは、認証情報の収集に特別に設計された偽のオンライングリーティングカードでモバイルユーザーを狙っています。
被害者はしばしば、カスタムドメインと偽装されたインストーラーファイルをホストしている悪意のあるGitHubリポジトリに導かれます。
これらのリポジトリは、隠しiframeやプログラムアンカークリックなど、複数のブラウザネイティブダウンロード技法を循環する機能的フィッシングページを使用して、ペイロード配信を強制します。
さらに、攻撃者は軽量なクライアント側フィルタリングを使用して、Windows以外のデバイスが悪意のあるダウンロードにアクセスするのをブロックしています。
悪意のあるダウンロードがオンラインのままであることを保証するために、攻撃者はCloudflareなどの信頼されたサービスを頻繁に悪用してホスティングインフラストラクチャを保護しています。
これにより、バックエンドの詳細、リクエストテレメトリ、および地理的位置を隠すことで、防御者に摩擦層が追加されます。
一方、安全な転送メッセージングと認識可能なブランドの存在は、対象の被害者にとって正当性の幻想を強化しています。
Huntressのセキュリティ研究者は最近、脅威アクターが防御プラットフォームに登録して回避能力をテストしている様子を観察することで、これらのキャンペーンへの一次的な可視性を得ました。
仮想プライベートサーバーから動作する攻撃者は、メール抽出器やプロキシルーターなどのブラウザ拡張機能を利用して、認証情報を収集し、運用の安全性を維持しています。
その後、購入した認証情報コンボリストを活用して、被害者のメールアカウントとリンクされた銀行ポータルに体系的に侵入しました。
企業ネットワークの防御
この増大する脅威に対抗するには、組織が未承認のリモート管理インストールを直ちに重大なセキュリティイベントとして扱う必要があります。
業界専門家は、管理ユーティリティの無許可の使用を制限する多層防御アプローチを採用することを推奨しています。
翻訳元: https://gbhackers.com/hackers-exploit-remote-management-tools/
