ハッカーがリモート管理ツールを悪用

サイバー犯罪者は、正当なリモート監視と管理（RMM）ツールを悪用して、企業ネットワークに侵入し、持続的なアクセスを確立する傾向が高まっています。この手法は、攻撃者が一般的なセキュリティ防御を迂回し、日常的な管理タスクと混在させることで、悪意のある活動を隠すことができます。

RMMの悪用が増加

最近の情報によると、RMMの悪用は昨年277%増加し、観察されたセキュリティインシデントの約25%を占めています。攻撃者は、一般的に使用されている管理アプリケーションを完全に取り入れ、ペイロードを展開し、資格情報を盗むためのオペレーションプレイブックを構築しています。

マルウェアの代わりにRMMツールを使用

攻撃者は、マルウェアの代わりにこれらの信頼された管理アプリケーションを使用して、ペイロードを展開し、資格情報を盗む傾向があります。最近の侵入で観察された手法の一つは、異なるリモートアクセスツールを連鎖させる方法で、セキュリティのテレメトリを分断します。

脆弱性管理ソフトウェアの悪用

攻撃者は、Action1などの脆弱性管理ソフトウェアを悪用し、Microsoft Installerパッケージを使用してScreenConnectなどの二次リモートアクセスクライアントを静かに展開します。このアプローチは、正当に署名された展開パッケージに依存するため、ネットワークの防御者は属性と制御を困難にしています。

大規模言語モデルの使用

低スキルの攻撃者は、これらの侵入で使用される展開スクリプトを生成するために、大規模言語モデルにますます依存しています。これらのスクリプトは、ブラウザ履歴から暗号資産や金融プラットフォームを解析するのに成功していますが、データエクスフィルレーションAPIを適切に実装する技術的な成熟度が不足している場合もあります。

社会工学的手法の使用

攻撃者は、社会工学的手法を用いてこれらの管理ツールを配布しています。被害者は、税期の時期に社会保険庁などの政府機関を装う攻撃者によって、偽の会議参加確認やパーティー招待状を通じて、悪意のあるファイルをダウンロードさせられます。

クラウドサービスの悪用

攻撃者は、Cloudflareなどの信頼されたサービスを悪用して、悪意のあるダウンロードをオンラインに保つために、そのホスティングインフラストラクチャを保護しています。これは、防御者にとってバックエンドの詳細、リクエストテレメトリ、および地理的位置を隠す追加の摩擦を追加します。

セキュリティ対策

この上昇する脅威に対抗するには、組織は非承認のリモート管理インストールを即座に重要なセキュリティイベントとして扱う必要があります。業界の専門家は、管理ユーティリティの非公式な使用を制限する防御の深さのアプローチを採用することを推奨しています。

まとめ

組織は、厳格な許可リストをすべての認証された管理ソフトウェアに適用し、ユーザー書き込み可能なパスから始まるソフトウェアデプロイメントを高度に疑わしいものとして扱うべきです。また、親子プロセスの関係などの行動パターンを共有し、ソフトウェアベンダーからより透明なテレメトリを求めるべきです。

---

元記事: https://gbhackers.com/hackers-exploit-remote-management-tools/