概要
脅威アクターは、合法的なリモート監視および管理(RMM)ツールであるLogMeIn ResolveとScreenConnectを悪用し、マルチステージのフィッシングキャンペーンを展開しています。このキャンペーンでは、ソーシャルエンジニアリングや「living-off-the-land」技術、情報窃取型マルウェアを使用して攻撃を行っています。
背景
Sophosのマネージド検出および対応(MDR)チームは、この活動を最初に2025年4月に観測しました。その後、主な悪意のある活動が2025年10月から11月に集中しました。
影響範囲
このキャンペーンにより、80以上の組織が影響を受けました。これらの組織は主に米国に所在し、複数のセクターを跨いでいます。
攻撃手法
脅威アクターは、合法的なITツールを使用して被害者の環境で足場を築く傾向があります。このキャンペーンでは、テーマ付き招待状を送るフィッシングメールが使用されています。
攻撃の手順
- フィッシングメールと配信:攻撃者は、イベント招待状や入札・提案招待状などを模倣したテーマ付き招待状を送ります。これらのメッセージは、信頼できるパートナーのアカウントから送られる場合もあります。
- インストーラーの配布:攻撃者は、被害者のデバイスを攻撃者コントロールのアカウントに自動的に登録するように設定されたLogMeIn ResolveやScreenConnectのインストーラーを提供します。
- 初期アクセス:ダウンロードした実行ファイルが、被害者のデバイスを攻撃者コントロールのテナントに登録し、リモートアクセスを確立します。
後続の活動
初期アクセスステップの後に、攻撃者はしばしば静かに持続的なアクセスを確立し、検出を監視するか、他の脅威アクターに販売します。
対策と防御
このキャンペーンは、信頼できるサードパーティーサービスの悪用が増加していることを示しています。防御者は、RMMの展開や設定変更を高価値イベントとして扱い、リモートツールの許可リストを厳格に管理し、招待状テーマの添付ファイルや実行可能ファイルを慎重にチェックする必要があります。
結論
このSTAC6405キャンペーンは、信頼できるサードパーティーサービスの悪用が増加していることを示しています。防御者は、RMMの展開や設定変更を高価値イベントとして扱い、リモートツールの許可リストを厳格に管理し、招待状テーマの添付ファイルや実行可能ファイルを慎重にチェックする必要があります。