概要
Microsoft TeamsやZoom、Adobe Readerを装った署名付きマルウェアが、リモート監視と管理(RMM)バックドアを展開するフィッシングキャンペーンが広がっています。この活動は、未特定の脅威アクターによるもので、信頼されたブランドと有効に見えるデジタル署名が悪用されることで、企業ネットワークで長期的なアクセスを獲得しています。
フィッシングキャンペーンの詳細
Microsoftによると、これらのキャンペーンは、会議の招待状、請求書、プロジェクト提案、内部通知など、一般的な職場のテーマを偽装した説得力のあるフィッシングメールに依存しています。
- 2026年2月、Microsoft Defender Expertsは複数のフィッシングキャンペーンを特定しました。
- メッセージは偽造されたPDFファイルを添付したり、攻撃者が制御するダウンロードページにリダイレクトするリンクを埋め込みました。
- ユーザーは「更新」または「開く」ボタンやプロンプトを通じてドキュメントを開くよう誘導され、実際にはWindows実行可能ファイルが送信されました。
マルウェアの展開
これらのバイナリは、TrustConnect Software PTY LTDが発行した拡張検証(EV)証明書を使用してデジタル署名されており、信頼性の高い外観を与え、ユーザーの疑念や一部の署名コードを優先する制御をバイパスするのに役立っています。
RMMバックドアと持続性
実行された後、偽の職場アプリケーションはScreenConnect、Tactical RMM、MeshAgentなどの複数のRMMフレームワークを展開し、持続的なリモートアクセスを確立しました。
- 攻撃者は、ユーザーのダウンロードディレクトリからプログラムファイルをコピーし、C:\\