脅威行為者は、企業ネットワークに浸透し、長期的なアクセスを確立するために、正当なリモートモニタリング・管理(RMM)ツールを次第に悪用しています。
セキュリティ研究者は、攻撃者がこれらの信頼されている管理ツールを使用して、悪意のある操作を日常的なIT管理業務と混ぜ合わせ、多くの従来型セキュリティ対策を回避していると警告しています。
セキュリティアナリストは、リモート管理ツールの悪用が過去1年間で約277%増加し、観測されたサイバーセキュリティインシデントの約4分の1を占めていると報告しています。
攻撃者は従来型のマルウェアを展開する代わりに、信頼されたシステム管理ユーティリティを中心に、その運用マニュアル全体を構築しています。
企業環境で一般的に見つかる正当なソフトウェアを使用することにより、敵対者は通常、未知の実行ファイルや疑わしいバイナリにフラグを立てるエンドポイント検出システムを回避できます。
成長中のテクニックでは、侵入中に複数のリモートアクセスツールを「デイジーチェーン」することが含まれています。これらの攻撃では、1つの管理プラットフォームが別のリモート制御ツールをデプロイするために使用され、セキュリティテレメトリーが分断され、検出が複雑になります。
例えば、脅威行為者は、Microsoft Installer(MSI)パッケージを使用してScreenConnectなどの2次的なリモートアクセスクライアントをサイレントにインストールするために、Action1などの脆弱性管理ソフトウェアを悪用しているという観測があります。
これらのデプロイメントパッケージは正当に署名されているため、真正に見え、多くのセキュリティ制御を容易に回避できます。
研究者はまた、スキルの低い攻撃者がこれらのキャンペーン中に使用されるスクリプトを生成するために、大規模言語モデル(LLM)にますます依存していることに注目しています。
これらのスクリプトは、認証情報の収集とブラウザデータ収集などのタスクを自動化し、暗号資産ウォレットまたは金融プラットフォームのログインのためのブラウジング履歴を解析する試みを含みます。
しかし、これらのAI生成スクリプトの多くは、依然として技術的な制限を示しています。観測されたいくつかのケースでは、スクリプトはデータ流出メカニズムを適切に実装できず、収集された情報が攻撃者に送り返されるのではなく、侵害されたシステムにローカルに保存されたままになっていました。
ソーシャルエンジニアリングは、これらのリモートアクセスツールの主な配信方法のままです。攻撃者は、被害者を正当に見えるソフトウェアの実行に騙すために設計された、慎重に作成されたフィッシングキャンペーンを通じて悪意のあるインストーラーを配布します。
セキュリティ専門家は、組織に対して、許可されていないリモート管理インストールを重大なセキュリティイベントとして扱うよう警告しています。
これらのツールは正当なソフトウェアであるため、従来型のシグネチャベースの防御はそれらを検出できない場合があります。
リモート管理ソフトウェアの使用の可視性を向上させ、行動異常を監視することにより、組織は急速に成長しているこの初期アクセステクニックによってもたらされるリスクを大幅に削減できます。