- フィッシングメールがトロイの木馬化されたScreenConnectを拡散し、被害者を騙してリモートアクセス型マルウェアをインストールさせています
- 一度インストールされると、攻撃者はファイルレス型トロイの木馬AsyncRATを展開し、キーストロークの記録や認証情報の窃取などを行います
- AsyncRATはそのステルス性とオープンソースであることから、多様な脅威アクターに好まれています
犯罪者たちは、人気のある正規のリモートアクセスツールをトロイの木馬化したバージョンを使い、ターゲットデバイスにリモートアクセス型トロイの木馬(RAT)を仕込んでいると、研究者たちは警告しています。
今週初め、LevelBlueのセキュリティ研究者は、ConnectWise ScreenConnectの改ざんされたバージョンが、金融やその他のビジネス文書を装って拡散されているフィッシングメールを確認したと発表しました。
ConnectWise ScreenConnectは、リモートアクセスおよびリモートサポート用のソフトウェアで、ITチームやヘルプデスク、マネージドサービスプロバイダー(MSP)がリモートサポートやリモート会議、無人アクセスなどを行うことができます。
ファイルレスマルウェア
このソフトはクロスプラットフォームでも動作し、デスクトップ、モバイル、ブラウザベースの接続をサポートしています。しかし、最も悪用されているプログラムの一つでもあり、なりすましや個人情報窃盗攻撃によく使われています。
フィッシングメールに騙されてScreenConnectをインストールした被害者は、犯罪者に自分のデバイスへの無制限なアクセスを許してしまい、後にファイルレス型のマルウェア「AsyncRAT」を密かに展開されてしまいます。
このリモートアクセス型トロイの木馬は、明らかな機能以外にも、脅威アクターがキーストロークを記録したり、ブラウザの認証情報を盗んだり、システムのフィンガープリントを取得したり、暗号資産ウォレットやその他のウォレットデータ(特にブラウザ拡張機能)を探すことも可能です。
「ファイルレスマルウェアは、そのステルス性と正規のシステムツールを利用して実行されることから、現代のサイバーセキュリティ対策にとって依然として大きな課題となっています」とLevelBlueは述べています。「従来型のマルウェアがペイロードをディスクに書き込むのに対し、ファイルレス型の脅威はメモリ上で動作するため、検出や解析、駆除が難しくなっています。」
AsyncRATは2019年1月に初めて公開されたオープンソースのトロイの木馬です。その入手のしやすさから、初心者のサイバー犯罪者から組織化されたグループまで、幅広い脅威アクターに利用されています。
通常はフィッシングメールや悪意のある添付ファイルを通じて配布されており、医療機関を標的としたキャンペーンを含む多段階感染チェーンにも登場しています。
このマルウェア自体は特定のグループに属しているわけではありませんが、さまざまなサイバー犯罪者や新興の脅威アクターによってリモートでの悪用に広く使われています。
出典: The Hacker News
