脅威行為者は、ソーシャルエンジニアリング、リビングオフザランド技術、ステルス情報盗聴マルウェアをブレンドした多段階Phishingキャンペーンで、正規の遠隔監視管理(RMM)ツールであるLogMeIn ResolveとScreenConnectを悪用しています。
Sophosの管理型検出・対応(MDR)チームは、このアクティビティを2025年4月に最初に確認しました。悪意のあるアクティビティの大部分は2025年10月から11月に集中しています。
80以上の組織が影響を受けており、主に米国で複数のセクターにまたがっています。キャンペーンの中核目的は、ユーザーを騙して事前設定済みのRMMエージェントをインストールさせ、攻撃者に無人リモートアクセスを与えることです。初期段階で「従来の」マルウェアをドロップしないことがよくあります。
Sophosはこの脅威アクティビティクラスタをSTAC6405として追跡しており、インフラの一部が引き続きアクティブであることから、継続中の操作であると評価しています。
Red CanaryとZscalerの研究者は、以前にRMMツールを配信した同様の招待テーマのPhishingを記録しており、最新のSophos調査はこれらの発見をほぼ検証しています。
これらの以前の操作と同様に、STAC6405は正規のITツールを使用して被害者環境のフットホールドを確立・維持するという明確なシフトを示しています。
Phishingルアーと配信
攻撃者は、テーマ付き招待をPhishingメールで送信します。時には信頼できるパートナーに属する侵害された第三者アカウントから送信され、時には不明な送信者からも送信されます。
多くのメッセージは「SPECIAL INVITATION」などのサブジェクトでPunchbowlイベント招待を模倣しています。一方、他のメッセージは入札招待を装い、すべてが攻撃者が管理する配信サイトへのリンクを含んでいます。
これらのサイトは正規のLogMeIn ResolveまたはScreenConnectインストーラをホストしており、被害者デバイスが攻撃者管理のアカウントに自動的に登録されるように事前設定されています。
初期段階では、アクターは.ru[.]comスタイルのドメイン配下のサブドメインを好みました。その後、mastorpasstop[.]top、evitereview[.]de、evitesecured[.]topなどのドメインに回転し、その中には招待テーマと一致する「evite」のようなブランディングを含むものもあります。
ランディングページ自体は、MicrosoftTeamsやNortonなどのブランドを模倣していることが観察されており、ルアーの信頼性を向上させたりシンプルなパターンベースの検出を回避したりするための積極的な調整を示唆しています。
Red Canaryは以前、関連インフラがユーザーエージェント文字列に基づいて被害者を動的にリダイレクトし、WindowsおよびAndroid以外のデバイスにエラーページを返すことを報告していましたが、Sophosはそのケースでブロック動作を観察しませんでした。同じエコシステムからScreenConnectインストーラを取得できました。
ユーザーがダウンロードされたバイナリ(Invitation.exe、ContractAgreementToSign.exe、またはSPCL_INVITE_RSVP_2025.exeなどの名前)を実行すると、LogMeIn Resolveは静かにインストールされ、エンドポイントが攻撃者管理のテナントに登録されます。
エージェントは、ハードコードされたリレードメインを含む設定ファイルをディスクに書き込み、その設定に結び付く一意のUIDで識別される専用のWindowsサービスを登録します。これは既に存在する正規のRMM展開とは別のものです。
Sophosが観察したほとんどの場合、悪意のあるアクティビティはこの初期アクセスステップの後で停止します(少なくとも一時的には)。
そのアイドル動作は、初期アクセスブローカー(IAB)アクティビティと一致しており、オペレータは静かに永続的なアクセスを確立し、その後、フットホールドを「駐車」して検出を監視するか、地下市場で他の脅威行為者に売却します。
1つのインシデントでは、攻撃者は被害者がLogMeIn Resolveをインストールしてから1時間以内に第2段階に迅速に移動しました。
新しくデプロイされたエージェントを使用する代わりに、彼らは既存のScreenConnect インストールを活用してHeartCrypt圧縮ZIPアーカイブ(8776_6713_exe.zip)をプルダウンし、HideMouse.exeと8776_6713.exeを含めました。
HideMouse.exeは、見える マウスカーソルを透明なものとスワップし、遠隔制御セッションをユーザーに明白でなくするために画面上のアクティビティを隠します。
コンパニオン実行可能ファイルの8776_6713.exeは、HeartCryptのコード注入機能を使用して正規のゲームバイナリに注入されたペイロードを備えた悪意のある情報盗聴者として評価されます。
マルウェアは、タイトループベースの遅延を使用して約4〜9分間アイドル状態のままです。これは一般的なサンドボックス回避戦術です。その後、csc.exeに注入されます。csc.exeは既知のリビングオフザランドバイナリ(LOLBin)です。
次に、45[.]56.162.138のコマンドアンドコントロールインフラストラクチャに接続し、TripleDESを使用して埋め込まれたペイロードを復号化し、ValleyRATローダーに類似した動作を展示します。
侵害後のアクションには、ブラウザに保存されている認証情報とセッションデータの収集、暗号化ウォレットへのアクセス試行、WMI経由のホストシステム情報の列挙、WMI ExecQueryに対してAntiVirusProductを使用して設定されたセキュリティ製品のクエリが含まれます。
代替パス:バンドルされたRMMチェーン
別のケースでは、初期ペイロードはScreenConnectベースのインストーラーであるinvite.exeで、relay[.]aceheritagehouse[.]top:8041経由でセッションに参加し、攻撃者への対話的なアクセスを許可するように設定されていました。
ScreenConnectをサービスとして起動することに加えて、バイナリはバンドルされたJRE内のJavaベースのリモートアクセススタック(RemoteAccess.jarとjwrapper_utils.jar)を開始し、ファイアウォールルールを列挙し、JWrapperのSimpleService.exeを悪用して独自のサービス(simplegateway.service)を登録し、Remote Access.exeを実行しました。
この2次バイナリはSimpleHelp(別の正規RMMソリューション)に結び付けられていると考えられており、さらにjwrapper.JWrapperをremoteaccess-jar-with-dependencies.jarおよびサポートライブラリを使用して呼び出し、リモートアクセスオプションを拡張しました。
影響を受けた顧客との協力により、ディフェンダーはこのインシデントを攻撃者がさらにエスカレートする前に封じ込めることができました。
STAC6405キャンペーンは、メールアカウントから商用RMMプラットフォームまで、信頼されたサードパーティサービスの悪用の増加を強調しており、最小限のマルウェアフットプリントでアクセスと永続性をブートストラップします。
ディフェンダーにとって、これはRMMの展開と設定の変更を高価値イベントとして扱い、リモートツールの厳密なアローリストを適用し、見慣れた送信者からのように見えても招待をテーマにした添付ファイルまたは実行可能ファイルを詳しく調べる必要性を強調しています。
翻訳元: https://gbhackers.com/phishing-campaigns-3/
