概要
サイバー犯罪者は、正当なリモート監視ツールを利用して企業ネットワーク内に潜入し、ランサムウェア攻撃を実行しています。Net Monitor for Employees ProfessionalとSimpleHelpという二つの合法的なツールが悪用されています。
Net Monitor for Employees Professional
NetworkLookout社のNet Monitor for Employees Professionalは、リモート画面表示、完全なリモート制御、ファイル管理、シェルコマンド実行、ステルス展開などの豊富な機能を提供する商用の労働者監視ツールです。これらの機能が悪用されると、リモートアクセストロイア(RAT)と同様の行動を示す可能性があります。
SimpleHelp
SimpleHelpは、他の合法的なリモート監視および管理(RMM)プラットフォームで、脅威アクターがペースティションやポストエクスプロイトツールとして広く悪用されています。特に露出または未修正の状態にある場合に。
攻撃事例
ケース1: モニタリングからランサムウェアへ
- 不審なアカウント操作がホスト上で検出されました。netコマンドを使用してユーザーを列挙し、パスワードをリセットしたり、ビルトインのAdministratorアカウントを有効にしようとしました。
- Net Monitor for Employeesからwinpty-agent.exeという偽のターミナルコンポーネントがバンドルされ、ハンドスオンキーボードコマンドが実行されました。
- SimpleHelpを使用してさらにコマンドを実行し、Windows Defender設定を変更しようとしました。
- 最後にCrazyランサムウェアの展開を試みました。encrypt.exeという名前の複数のバイナリファイルをドロップしました。
ケース2: VPN侵害とツールの偽装
- Vendor SSL VPNアカウントを使用して、攻撃者は被害者の環境にアクセスし、ドメインコントローラーにリモートデスクトップで接続しました。
- PowerShellからvhost.exeというファイルをダウンロードしました。これはSimpleHelpのバイナリであり、192.144.34[.]42というC2サーバーと通信するように設定されていました。
- Net Monitor for Employeesのエージェントを公式サイトから直接インストールし、ドローンメーカー[.]orgやIP 104.145.210[.]13などの攻撃者のインフラに逆接続するように設定しました。
- SimpleHelpも複数のゲートウェイを介してインストールされ、暗号通貨ウォレットや取引所などへの監視トリガーが設定されていました。
攻撃者の意図と対策
攻撃者はCrazyランサムウェアの展開と暗号通貨関連活動の直接的な収益化を目的としています。組織はマルチファクタ認証、VPNやRDPゲートウェイの強化、リモート管理ツールの使用制限などを実施する必要があります。