概要
狂気のランサムウェア集団は、合法的な従業員監視ソフトウェアとSimpleHelpリモートサポートツールを使用して、企業ネットワーク内で持続性を維持し、検出を回避しています。
攻撃手法
ハントレス社の研究者は、複数のインシデントで脅威アクターがNet Monitor for Employees ProfessionalとSimpleHelpを使用してリモートアクセスを取得し、通常の管理活動に紛れ込むことを観察しました。
攻撃の詳細
攻撃者はWindows Installerユーティリティ(msiexec.exe)を使用してNet Monitor for Employees Professionalをインストールし、開発者のサイトから直接モニターエージェントを実行しました。これにより、攻撃者は被害者のデスクトップを遠隔で視覚化し、ファイルを転送したりコマンドを実行したりすることができました。
追加の持続性
攻撃者はPowerShellコマンドを使用してSimpleHelpリモートアクセスクライアントをダウンロードおよびインストールし、ファイル名をlegitimate Visual Studio vshost.exeに似せるなどして、モニタリングツールが削除された場合でもリモートアクセスを維持しました。
Windows Defenderの無効化
攻撃者はまた、Windows Defenderを停止および削除することで検出を回避しようとしました。
暗号通貨関連キーワードの監視
SimpleHelpエージェントは、暗号通貨ウォレットやリモート管理ツールを使用している場合にアラームを発生させるように設定されました。これにより、攻撃者はランサムウェア展開と潜在的な暗号通貨窃取の準備ができていました。
脅威アクターの同一性
Huntressは、同じファイル名(vhost.exe)と重複するC2インフラストラクチャが両方のケースで使用されたため、単一のオペレーターまたはグループが背後にある可能性が高いと説明しています。
組織への警告
Huntressは、組織がリモート監視およびサポートツールの非公式なインストールを厳密に監視することを推奨します。また、攻撃がSSL VPN資格情報の侵害を通じて可能になったため、すべてのリモートアクセスサービスでMFAを強制することが重要です。