80以上の組織を標的にしたフィッシングキャンペーンにより、SimpleHelpやScreenConnectといった正規のリモートアクセスツールが悪用されました。攻撃者は被害者を騙してこれらのプログラムをインストールさせ、システムの完全な制御を獲得します。侵入後、認証情報を窃取し、マルウェアを展開し、影響を受けたネットワーク内に永続性を確立します。
正規RMMを用いた攻撃者の手口 🛡️
攻撃者はテクニカルサポートを装ったメールやメッセージを送り、被害者にSimpleHelpやScreenConnectのダウンロードを促します。実行されると、正規のソフトウェアはウイルス対策ソフトに疑われることなくリモート制御を可能にします。その後、攻撃者は認証情報を盗むトロイの木馬、ランサムウェア、バックドアなどの悪質なペイロードを展開し、継続的なアクセスを確保するためにシステム設定を変更します。
誰も頼んでいない、必要もないテクニカルサポート 🚨
結局のところ、企業に侵入する最善の方法は複雑なエクスプロイトではなく、丁寧にリモートコントロールプログラムのインストールを依頼することだったのです。攻撃者は、予告なく現れ、「あなたのPCはウイルスに感染しています」と言ってパスワードを盗む、あの技術者のように振る舞います。最悪なのは、ソフトウェア自体は合法であり、犯罪となるのはそれを公式サポートとして売り込んだ点です。