概要
AhnLab Security Intelligence Center (ASEC) のサイバーセキュリティ研究者たちは、正規のリモート監視・管理 (RMM) ツールを悪用してバックドアマルウェアをシステムに展開する、巧妙な攻撃キャンペーンを発見しました。この攻撃では、LogMeIn Resolve (GoTo Resolve) と PDQ Connect が悪用され、信頼された管理ツールがデータ窃盗やリモートシステム侵害のための武器に変えられています。
巧妙な初期感染経路
初期感染経路は不明ですが、ASECの研究者たちは、攻撃者が人気のある正規ソフトウェアのダウンロードポータルを装った偽のウェブサイトを通じて被害者を誘い込んでいることを突き止めました。これらの欺瞞的なサイトは、Notepad++、7-Zip、WinRAR、VLC Media Player、さらにはChatGPTといった広く使われているユーティリティの公式ダウンロードページを模倣していますが、実際には脅威アクターが改変したLogMeIn Resolveのバージョンを配布しています。
悪意のあるインストーラーは、「notepad++.exe」、「7-zip.exe」、「winrar.exe」、「chatgpt.exe」、「OpenAI.exe」、さらには「windows12_installer.exe」など、正規に見せかけるための多数の偽装ファイル名で配布されています。ユーザーがこれらのファイルをダウンロードして実行すると、RMMツールと、機密情報を窃取できる追加のマルウェアの両方を意図せずインストールしてしまいます。
悪用されるRMMツール:LogMeIn Resolve
LogMeIn Resolveは、ITプロフェッショナルがリモートサポート、パッチ管理、システム監視を行うための正規のRMMソリューションです。しかし、その強力な機能は、従来のセキュリティ防御を回避しようとするサイバー犯罪者にとって魅力的な標的となります。従来のマルウェアとは異なり、RMMツールは正規の管理ソフトウェアと同様の機能を実行するため、アンチウイルスソフトウェアやファイアウォールによる検出を回避することがよくあります。
脅威アクターを特定する鍵は、LogMeIn Resolveの構成ファイル、特にインストールパッケージを作成した管理者の固有の識別子を含む「CompanyId」フィールドにあります。ASECは、韓国での攻撃キャンペーンで使用された3つの異なるCompanyId値を特定しました:
- 8347338797131280000
- 1995653637248070000
- 4586548334491120000
一度インストールされると、攻撃者はLogMeInのインフラを通じて制御権を獲得し、PowerShellコマンドをリモートで実行したり、追加のマルウェアペイロードを展開したりすることが可能になります。
PDQ Connectも攻撃の標的に
LogMeIn Resolveに加えて、脅威アクターはPDQ Connectも悪用しています。PDQ Connectもまた、ソフトウェア配布、パッチ管理、リモート制御機能を提供する正規のRMMツールです。LogMeInの攻撃と同様に、PDQ ConnectはPowerShellコマンドを実行するために悪用され、最終的に洗練されたバックドアマルウェアであるPatoRATをインストールします。
最終的な目的:PatoRATバックドア
これらの攻撃の最終的な目的は、PatoRATのインストールです。PatoRATはDelphiで開発されたバックドアで、広範なデータ窃取およびリモート制御機能を備えています。研究者たちは、マルウェアのコード内にポルトガル語の文字列を発見しており、ブラジル起源の可能性を示唆しています。
PatoRATの構成データは、キー「0xAA」を使用した1バイトXOR暗号化で暗号化され、リソースセクションに保存されています。実行されると、PatoRATはCPU詳細、コンピューター名、オペレーティングシステムバージョン、メモリ使用量、アクティブなウィンドウ、画面解像度、ユーザー権限を含む包括的なシステム情報を収集し、このデータをコマンド&コントロールサーバーに送信します。
このマルウェアは、マウス制御、キーロギング、スクリーンキャプチャ、ブラウザの認証情報窃取、HVNC技術を介したリモートデスクトップアクセス、PowerShellコマンド実行、クリップボード操作など、幅広い悪意のある機能をサポートしています。また、ポートフォワーディング操作が疑われるlocaltonetをインストールすることもでき、拡張機能のためのプラグインアーキテクチャもサポートしています。
セキュリティ対策と推奨事項
ユーザーは、ソフトウェアを公式ベンダーのウェブサイトからのみダウンロードし、インストール前にデジタル署名とバージョン情報を確認する必要があります。組織は、オペレーティングシステムとセキュリティソリューションを最新の状態に保ち、不正なRMMツールのインストールを監視し、疑わしいリモートアクセス活動を検出するためのネットワークレベルの制御を実装する必要があります。セキュリティチームは、特定されたCompanyId値とPatoRATの侵害指標 (IOC) を環境内で特に監視し、潜在的な感染を早期に検出する必要があります。