サイバーニュース.jp

世界のサイバーなニュースを配信

RMMツールが悪用され、不正PDFを介したサイバー攻撃が活発化

カテゴリ:

概要

脅威アクターが正規のリモート監視・管理(RMM)ツールを悪用し、無防備なユーザーに不正なPDFファイルを配布する巧妙なサイバー攻撃キャンペーンを展開しています。AhnLab Security Intelligence Center (ASEC) は、Syncro、SuperOps、NinjaOne、ScreenConnectといったRMMツールを利用した複数の攻撃チェーンを発見しました。攻撃者は少なくとも2025年10月からこの運用インフラを維持していることが明らかになっています。

攻撃の仕組み

この攻撃キャンペーンは、メールフィッシングを通じて配布される偽装されたPDF文書から始まります。「Invoice_Details.PDF」、「Defective_Product_Order.pdf」、「Payment_error.pdf」といった無害なファイル名を装ったファイルが、感染チェーンへの入り口となります。ユーザーがこれらの文書を開くと、実際のPDFコンテンツを隠す高解像度画像が表示されるか、「PDFドキュメントの読み込みに失敗しました」というエラーメッセージが表示され、埋め込まれたリンクをクリックするよう誘導されます。

攻撃者は巧妙なソーシャルエンジニアリング戦術を駆使しています。一部の変種は、「Video_recorded_on_iPhone17.mp4」と偽装した偽のGoogle Driveページにユーザーを誘導します。また、他の変種は「adobe-download-pdf[.]com」といった偽のAdobeダウンロードページにリダイレクトします。これらの偽装メカニズムにより、ユーザーは正規のメディアファイルやPDFリーダーをダウンロードしていると誤認し、実際にはRMMインストーラーをダウンロードしてしまうのです。

正規RMMツールの悪用

脅威アクターは、従来のマルウェア配布ではなく、正規のRMMソリューションを「武器化」する「Living off the Land (LoL)」アプローチを採用しています。この戦略は、RMMツールがセキュリティ制御を回避し、企業環境内で透過的に動作するように設計されているため、特に効果的です。これにより、従来のバックドアやリモートアクセス型トロイの木馬とは異なり、マルウェア署名や振る舞い分析に依存するセキュリティ製品による検出を回避します。

Syncro RMMがこのキャンペーンの主要な媒介として利用されており、ASECは2025年後半に集中的に配布された、有効な証明書でデジタル署名されたマルウェアサンプルを特定しました。インストールパラメータの分析から、複数のサンプル間で一貫した「key」と「customer ID」の値が確認され、同一の脅威アクターグループによる組織的なキャンペーンが示唆されています。ScreenConnect、SuperOps、NinjaOneといったプラットフォームも同様の悪用パターンが見られ、ScreenConnectはALPHV/BlackCatやHiveといった主要なランサムウェアギャングにも利用されています。

技術的インフラの詳細

攻撃インフラには、RMMインストーラーだけでなく、NSISスクリプトで開発されたセカンダリダウンローダーも含まれます。これらのダウンローダーには追加のペイロードをフェッチするための埋め込みコマンドが含まれており、以前NinjaOneの配布に関連付けられたインフラが利用されています。悪意のあるスクリプトにはNinjaOne固有のキーワードが含まれており、攻撃者が複数の配布チャネルで永続的な制御を維持していることを示唆しています。証明書分析から、2025年10月から現在に至るまで組織的な活動が明らかになり、複数のRMMプラットフォームを標的とした多様なマルウェアサンプルで同一の署名資格情報が使用されていることが判明しました。これは、企業ツールのエコシステムに関する深い知識を持つ単一の脅威アクターグループか、インフラを共有する複数のアクターによる連携キャンペーンのいずれかを示唆しています。

組織が講じるべき対策

組織は、この脅威ベクトルに対して多層防御を実装する必要があります。

  • メールフィルタリングは、特に財務、注文、支払い関連のファイル名を持つ不審なPDF添付ファイルを特定し、隔離すべきです。
  • セキュリティ意識向上トレーニングは、未知の送信者からの添付ファイルを開くリスクと、やり取りの前に送信者の正当性を確認することの重要性を強調すべきです。
  • 技術的制御には、オペレーティングシステムとセキュリティソフトウェアを完全に最新の状態に保つこと、不要なリモートアクセスツールを無効にすること、RMMインストールの試行を監視することが含まれます。
  • 不審なRMMツールのダウンロードやインストールを監視するネットワークレベルの制御は、追加の検出層を提供します。
  • 組織は、不正なRMMインストールを防止するためにアプリケーションホワイトリストも実装し、ユーザーには公式ベンダーチャネルを通じてのみダウンロードを検証するよう求めるべきです。

元記事: https://gbhackers.com/weaponized-pdf-files/

投稿をさらに読み込む