サイバーセキュリティ研究者は、正規の遠隔監視管理(RMM)ソフトウェアを悪用して企業ネットワークに侵入する洗練されたフィッシングキャンペーンを発見しました。
最近の脅威レポートによると、攻撃者は侵害されたシステムへの永続的で不正なアクセスを確立するために、ユーザーをLogMeIn ResolveとScreenConnectのインストールに騙す活動を積極的に行っています。
STAC6405として追跡されているこの活動は、主に米国の複数のセクターにおいて80以上の組織に影響を与え、悪質な活動の大部分は2025年10月から11月の間に発生しました。
攻撃チェーンは通常、侵害された第三者のアカウントから送信された欺瞞的なメールで始まり、メッセージが既知で信頼されたセンダーからのように見えます。
これらの多くのフィッシング誘い文句は、「特別招待状」などのサブジェクト行で人気のプラットフォームPunchbowlを模倣し、イベント招待状のように見えるよう設計されています。その他のバリエーションには、企業入札の偽の招待が含まれます。
観察された事件の大部分では、最初のRMMツールが正常にインストールされると攻撃は終了しました。
ただし、特定の場合には、脅威アクターはより破壊的な第2段階に急速に進みました。新しくインストールされたLogMeIn Resolveまたは既存のScreenConnectインスタンスを使用して、攻撃者は侵害されたデバイスに追加の悪意のあるペイロードをダウンロードしました。
注目すべき1つのペイロードは、既知のマルウェア回避ツールであるHeartCryptで詰めされたZIPファイルでした。このファイルには、検出を回避するために正規のビデオゲームバイナリに注入された高度な情報盗聴モジュールが含まれていました。
自動化されたセキュリティサンドボックスを回避するために、マルウェアは実行前に最大9分間完全にアイドル状態を保つようにプログラムされており、複雑なネストされたループの一連を使用して活動を遅延させます。
活動開始時に、正規のMicrosoftプロセスに悪意のあるコードを注入しました。外部のコマンド・アンド・コントロール(C&C)サーバーとの接続を確立しました。
最新のエンドポイント保護プラットフォームがすぐに検出する可能性のあるカスタムマルウェアを直ちに展開する代わりに、ハッカーはますます信頼できる第三者インフラストラクチャの悪用に依存しています。
正規のIT管理ツールを活用して初期フットホールドを確立することで、サイバー犯罪者は企業ネットワークへの隠密で長期的なアクセスを維持でき、組織は壊滅的なデータ漏洩とランサムウェア攻撃に対して脆弱になります。
翻訳元: https://cyberpress.org/hackers-weaponize-remote-access/