{
“title”: “偽のテクニカルサポートスパムがカスタマイズされたハヴァックC2を組織に展開”,
“content”: “

偽のテクニカルサポートスパムがカスタマイズされたハヴァックC2を組織に展開

\n

セキュリティ研究者たちは、悪意のあるアクターが偽のITサポートを装って、データの不正流出やランサムウェア攻撃の前触れとしてハヴァックコマンドアンドコントロール（C2）フレームワークを配布する新たなキャンペーンに注意を向けている。

\n

この侵入は、Huntressが先月5つのパートナー組織で確認した。悪意のあるアクターは、メールスパムを罠として使用し、次にITデスクからの電話を装って、マルウェア配布のレイヤーをアクティブ化する。

\n

「ある組織では、攻撃者は初期アクセスから11時間以内に9つの追加エンドポイントに移動し、カスタムハヴァックデモンペイロードと正当なRMMツールを組み合わせて持続性を確保した。その移動速度は、データの不正流出やランサムウェア攻撃、または両方の最終目標を示唆している」と、研究者たちは述べている。

\n

攻撃の手口

\n

攻撃のチェーンは、ターゲットのメールボックスをスパムメールで満たすスパムキャンペーンから始まる。次に、攻撃者はITサポートを装って連絡を取り、受信者にクイックアシストセッションやAnyDeskなどのツールをインストールしてリモートアクセスを許可させる。

\n

リモートアクセスが確立されると、攻撃者はすぐにウェブブラウザを起動し、Amazon Web Services（AWS）でホストされている偽のランディングページに移動し、ユーザーにメールアドレスを入力するよう促す。

\n

ユーザーがボタンをクリックすると、スクリプトが実行され、ユーザーにパスワード入力を要求するオーバーレイが表示される。

\n

「このメカニズムは二つの目的を果たす：攻撃者が資格情報を収集し、メールアドレスと組み合わせることでコントロールパネルへのアクセスを提供する一方で、ユーザーがプロセスが正当であると信じ込ませる」と、Huntressは述べている。

\n

マルウェアの展開

\n

攻撃は、偽のスパムパッチのダウンロードを含む。これにより、正当なバイナリ「ADNotificationManager.exe」（または「DLPUserAgent.exe」や「Werfault.exe」）が実行され、悪意のあるDLLをサイドロードする。

\n

少なくとも1つの識別されたDLL（「vcruntime140_1.dll」）は、コントロールフローのオブファスケーション、タイミングベースの遅延ループ、Hell’s GateやHalo’s Gateなどの技術を使用して、セキュリティソフトウェアによる検出を回避する追加のトリックを含んでいる。

\n

攻撃の展開

\n

「ハヴァックデモンがビーチヘッドホストに成功的に展開された後、攻撃者は被害者の環境全体で側面移動を開始した」と、研究者たちは述べている。

\n

攻撃者は、感染したエンドポイントが再起動されるたびにハヴァックデモンペイロードを起動するスケジュールされたタスクを作成し、リモートアクセスの持続性を提供する。

\n

また、攻撃者は一部の侵害されたホストで正当なリモートモニタリングおよび管理（RMM）ツール（Level RMMやXEOXなど）を展開し、持続性メカニズムを多様化している。

\n

重要な教訓

\n

これらの攻撃から得られる重要な教訓は、攻撃者がITスタッフを装い、成功確率を高めるために個人の電話番号に電話をかけることに満足していること、防御回避技術が大企業や国家支援のキャンペーンに限定されていたものが、ますます一般的になっていること、そして汎用マルウェアがパターンベースのシグネチャを回避するためにカスタマイズされていることである。

\n

また、攻撃が初期の侵害から側面移動に素早くかつ積極的に進行する速度も重要である。

\n

「電話から始まる’ITサポート’の電話は、完全に装備されたネットワーク侵害に終わる」と、Huntressは結論付ける。「このキャンペーンは、現代の敵が各段階で sophistication を重ねる方法の教科書である：社会工学で扉を開き、DLLサイドローディングで見えなくし、多様な持続性で生存を確保する」。

\n}<|im_start|> modne-style css for the JSON response is not applicable as the response is strictly structured as per the given JSON schema without any additional styling or HTML elements beyond what was requested. The content is encapsulated within the required tags and structure, making it ready for integration into a news article format. If you need further processing or a different format, please let me know!<|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|>

---

元記事: https://thehackernews.com/2026/03/fake-tech-support-spam-deploys.html