“`json
{
“title”: “フィッシング攻撃、盗んだ認証情報でLogMeIn RMMをインストールし永続的アクセスを確立”,
“content”: “

概要：信頼されたITツールを悪用する新たな攻撃

サイバーセキュリティ研究者たちは、盗まれた認証情報を悪用して正規のリモート監視・管理（RMM）ソフトウェアをデプロイし、侵害されたホストへの永続的なリモートアクセスを確立する新たな二段階攻撃の詳細を明らかにしました。KnowBe4 Threat Labsの研究者たちは、「カスタムウイルスをデプロイする代わりに、攻撃者は管理者が信頼する必要なITツールを武器にすることで、セキュリティ境界を迂回している」と述べています。

攻撃の詳細：二段階の巧妙な手口

この攻撃は二つの明確な段階で展開されます。第一段階では、攻撃者は偽の招待通知を利用して被害者の認証情報を盗み出します。具体的には、正規のプラットフォーム「Greenvelope」からの招待を装った偽の電子メールが送られ、受信者をフィッシングURLへと誘導します。このURLは、Microsoft Outlook、Yahoo!、AOL.comのログイン情報を収集するように設計されています。

認証情報が一度取得されると、攻撃は次の段階へと移行します。攻撃者は、侵害された電子メールを使用してLogMeInに登録し、RMMアクセス・トークンを生成します。これらのトークンは、その後の攻撃で「GreenVelopeCard.exe」という実行ファイルを介してデプロイされ、被害者システムへの永続的なリモートアクセスが確立されます。

「GreenVelopeCard.exe」の役割と永続化メカニズム

「GreenVelopeCard.exe」は、有効な証明書で署名されており、被害者の知らないうちにLogMeIn Resolve（旧GoTo Resolve）をサイレントインストールし、攻撃者制御のURLに接続するためのJSON構成を含んでいます。RMMツールがデプロイされると、攻撃者はリモートアクセスを利用してサービス設定を変更し、Windows上で無制限のアクセス権限で実行されるようにします。さらに、この攻撃は隠されたスケジュールされたタスクを確立し、ユーザーが手動でRMMプログラムを終了しても自動的に再起動するようにします。

対策：組織に求められる警戒

この脅威に対抗するため、組織は不正なRMMソフトウェアのインストールや使用パターンを監視することが強く推奨されます。管理者にとって信頼できる正規のツールが悪用されているため、通常のセキュリティ対策では見逃されがちな新たな脅威のベクトルとなっています。

”
}
“`”,
“status”: “publish”
}
“`

元記事: https://thehackernews.com/2026/01/phishing-attack-uses-stolen-credentials.html