- Cisco Talos は、ブラジルのユーザーを標的にした、商用のリモートモニタリングおよび管理
(RMM)ツールを使用するスパム攻撃を確認しました。遅くとも 2025 年 1 月から続いているこの攻撃では、PDQ Connect と N-able のリモートアクセスツールが使用されています。 - このスパムメッセージは、誘い込みの罠としてブラジルの電子請求書システム NF-e を使用し、ユーザーがハイパーリンクをクリックして、Dropbox でホストされている悪意のあるコンテンツにアクセスするよう仕向けます。
- Talos は、攻撃者が悪意のあるエージェントを作成して被害者に展開する目的で RMM ツールを悪用していることを確認しました。最初の侵害後、攻撃者は不正エージェントのリモート機能を使用して Screen Connect をダウンロードし、インストールします。
- Talos は、攻撃者が初期アクセスブローカー(IAB)であり、RMM ツールの無料トライアル期間を悪用していると高い確度で判断しています。
Talos はこのほど、商用のリモートモニタリングおよび管理(RMM)ツールのインストールを目的としたスパム攻撃を確認しました。標的になっているのはブラジルのポルトガル語ユーザーです。最初の感染は、NF-e として発行された未払い請求書や電子領収書のように見える、金融機関や携帯電話事業者を装った巧妙なスパムメッセージから始まります(図 1 および図 2 参照)。
図 1. 携帯電話事業者を装ったスパムメッセージ
図 2. 金融機関からの請求書に見せかけたスパムメッセージ
どちらのメッセージも、悪意のある RMM ツールのバイナリインストーラが含まれている Dropbox ファイルにリンクします。ファイル名にも以下のように NF-e に関連する語が含まれています。
- AGENT_NFe_<random>.exe
- Boleto_NFe_<random>.exe
- Eletronica_NFe_<random>.exe
- Nf-e<random>.exe
- NFE_<random>.exe
- NOTA_FISCAL_NFe_<random>.exe
注:ファイル名の <random> の部分は、ランダムな文字と数字の組み合わせです。
この攻撃で狙われた被害者のほとんどは、教育機関や政府機関などさまざまな業界における経営層および財務、人事の担当者です。この分析結果は、攻撃中に Talos が確認したメッセージのうち、最も多く見られた受信者情報に基づいています。
図 3. 標的となった受信者
利益目的での RMM ツールの悪用
この攻撃の目的は、被害者を罠にかけ、RMM ツールをインストールさせることです。これにより、標的マシンを攻撃者が完全に制御できます。攻撃で最もよく使われたツールは N-able RMM Remote Access で、元々 SolarWinds として知られていた N-able, Inc. によって開発されています。N-able は不正使用されたことを把握しており、影響を受けたトライアルアカウントを無効にする措置を講じました。一部の事例で Talos が確認したもう 1 つのツールが PDQ Connect で、これも同様の RMM アプリケーションです。どちらも 15 日間の無料トライアル期間があります。
攻撃者が盗まれたログイン情報を使用していたのか、トライアル版を使ってアカウントを作成していたのかを判断するために 15 日より前のサンプルを調査したところ、すべてのサンプルでアカウントが無効であるというエラーが返されました。一方で、過去 15 日以内に見つかった新しいサンプルでは、すべてのアカウントが有効でした。
Talos はサービスへの登録に使われた電子メールアカウントも調査しました。いずれも Gmail や Proton Mail などの無料メールサービスが使用されており、ユーザー名もスパム攻撃のテーマに沿ったものです。ごく少数の例外として、個人のアカウントが使用された事例もありますが、これらの個人アカウントはおそらく侵害されたものであり、攻撃者が追加のトライアルアカウントを作成するために悪用している可能性があります。民間企業によって発行された登録アカウントのサンプルは発見されていないため、これらのエージェントはログイン情報が盗まれたアカウントではなく、トライアルアカウントを使って作成されたものであると Talos は高い確度で判断しています。
N-able は不正使用されたことを把握しており、影響を受けたトライアルアカウントを無効にする措置を講じました。
感染したマシンに共通する感染後の動作に関する証拠は見つかりませんでした。ほとんどのマシンは、数日間はただ感染しただけの状態で、ツールが他の悪意のあるアクティビティを実行することはありませんでした。ただし一部の事例では、攻撃者が最初の侵害から数日後に追加の RMM ツールをインストールし、すべてのセキュリティツールを標的マシンから削除しているのを確認しました。これは、初期アクセスブローカー(IAB)グループの行動と一致しています。
IAB の主な目的は、侵害したマシンのネットワークを迅速に構築し、そのネットワークへのアクセスを第三者に販売することです。攻撃者は通常、ランサムウェアを展開する特定の標的企業を探す際に IAB を利用します。ただし IAB の優先順位はさまざまであり、国家支援の攻撃グループを含め、あらゆる攻撃者にサービスを販売する可能性があります。
近年、攻撃者による商用 RMM ツールの悪用が着実に増加しています。RMM ツールは通常、著名な組織によってデジタル署名されており、完全な機能を備えたバックドアになるため、攻撃者にとって魅力的なツールといえます。またソフトウェアやインフラストラクチャにもコストがほとんどかからないか、完全に不要です。通常、これらはすべてトライアル版のアプリケーションで提供されるからです。
Talos はトライアルユーザーが利用できる機能を確認するため、トライアルアカウントを作成しました。N-able のリモートアクセスツールの場合、15 日間のトライアル期間のみという制限はあるものの、トライアル版ですべての機能が利用できます。Talos はトライアルアカウントを使い、リモートデスクトップのようなアクセスやリモートコマンド実行、画面ストリーミング、キーストロークキャプチャ、リモートシェルアクセスなど、攻撃者がマシンへの完全なアクセス権限を持つことを確認できました。
図 4. 利用可能なリモートアクセスツールを示す N-able の管理インターフェイス
図 5. リモートマシンで実行された管理シェル
攻撃者は、リモートファイルシステムにファイルを簡単に読み書きできる、完全な機能を備えたファイルマネージャにもアクセスできます。
図 6. N-able のファイルマネージャ
これらのツールが生成するネットワークトラフィックも通常のトラフィックとして偽装されているほか、ツールの多くは HTTPS 通信でアプリケーション プロバイダーが提供するインフラストラクチャのリソースに接続します。たとえば N-able Remote Access は、Amazon Web Services(AWS)でホストされ、管理インターフェイスに関連付けられた以下のドメインを使用します。
- hxxps://upload1[.]am[.]remote[.]management/
- hxxps://upload2[.]am[.]remote[.]management/
- hxxps://upload3[.]am[.]remote[.]management/
- hxxps://upload4[.]am[.]remote[.]management/
注意事項:上記 URL は、この投稿で説明している RMM ツールの管理インフラストラクチャのものであり、攻撃者によって管理されているものではありません。これらのドメインをシグネチャでブロックする前に、顧客側で評価を完了する必要があります。
図 7 のとおり、エージェントが使用するドメインは、ツールを使用するすべての顧客で共通していて、違うのは、エージェントがどの顧客に属しているかを示すユーザー名と API キーのみです。これにより、攻撃の出所や攻撃者の属性を特定することがさらに難しくなります。
図 7. 構成ファイルの例
Dropbox にまだ残っているエージェントのインストーラファイルから構成ファイルを抽出すると、金融関連のユーザー名やドメイン名を使用したスパムメールと同じテーマのメールアドレスがいくつか見つかります。一方、一部のメールアドレスはおそらく侵害されたアカウントであり、N-able Remote Access のトライアルアカウントを作成するために使われている可能性があります。
トライアル版には使用期間の制限があるものの、コストはほとんどかからないか不要であり、完全なリモート制御機能が提供されるため、Talos はこの種のツールが今後さらに攻撃で一般的に使われるようになると予測しています。
Cisco Secure Firewall のアプリケーション制御機能によって、お客様のネットワークにおける RMM ツールの意図しない使用を検出できます。アプリケーション制御の設定方法については、Cisco Secure Firewall の資料をご覧ください。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
ClamAV でも、次の脅威を検出できます。
Txt.Backdoor.NableRemoteAccessConfig-10044370-0
Txt.Backdoor.NableRemoteAccessConfig-10044371-0
Txt.Backdoor.NableRemoteAccessConfig-10044372-0
IOC(侵害の指標)
注意事項:以下の URL は、この投稿で説明している RMM ツールの管理インフラストラクチャのものであり、攻撃者によって管理されているものではありません。これらのドメインをシグネチャでブロックする前に、お客様側で評価を完了する必要があります。
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
ネットワーク IOC
hxxps://upload1[.]am[.]remote[.]management/
hxxps://upload2[.]am[.]remote[.]management/
hxxps://upload3[.]am[.]remote[.]management/
hxxps://upload4[.]am[.]remote[.]management/
198[.]45[.]54[.]34[.]bc[.]googleusercontent[.]com
RMM インストーラ:ハッシュ
03b5c76ad07987cfa3236eae5f8a5d42cef228dda22b392c40236872b512684e
0759b628512b4eaabc6c3118012dd29f880e77d2af2feca01127a6fcf2fbbf10
080e29e52a87d0e0e39eca5591d7185ff024367ddaded3e3fd26d3dbdb096a39
0de612ea433676f12731da515cb16df0f98817b45b5ebc9bbf121d0b9e59c412
1182b8e97daf59ad5abd1cb4b514436249dd4d36b4f3589b939d053f1de8fe23
14c1cb13ffc67b222b42095a2e9ec9476f101e3a57246a1c33912d8fe3297878
2850a346ecb7aebee3320ed7160f21a744e38f2d1a76c54f44c892ffc5c4ab77
4787df4eea91d9ceb9e25d9eb7373d79a0df4a5320411d7435f9a6621da2fd6b
51fa1d7b95831a6263bf260df8044f77812c68a9b720dad7379ae96200b065dd
527a40f5f73aeb663c7186db6e8236eec6f61fa04923cde560ebcd107911c9ff
57a90105ad2023b76e357cf42ba01c5ca696d80a82f87b54aea58c4e0db8d683
63cde9758f9209f15ee4068b11419fead501731b12777169d89ebb34063467ea
79b041cedef44253fdda8a66b54bdd450605f01bbb77ea87da31450a9b4d2b63
a2c17f5c7acb05af81d4554e5080f5ed40b10e3988e96b4d05c4ee3e6237c31a
b53f9c2802a0846fc805c03798b36391c444ab5ea88dc2b36bffc908edc1f589
c484d3394b32e3c7544414774c717ebc0ce4d04ca75a00e93f4fb04b9b48ecef
ca11eb7b9341b88da855a536b0741ed3155e80fc1ab60d89600b58a4b80d63a5
d1efebcca578357ea7af582d3860fa6c357d203e483e6be3d6f9592265f3b41c
e2171735f02f212c90856e9259ff7abc699c3efb55eeb5b61e72e92bea96f99c
e34b8c9798b92f6a0e2ca9853adce299b1bf425dedb29f1266254ac3a15c87cd
ebdefa6f88e459555844d3d9c13a4d7908c272128f65a12df4fb82f1aeab139f
f52b4d81c73520fd25a2cc9c6e0e364b57396e0bb782187caf7c1e49693bebbf
f5efd939372f869750e6f929026b7b5d046c5dad2f6bd703ff1b2089738b4d9c
F68ae2c1d42d1b95e3829f08a516fb1695f75679fcfe0046e3e14890460191cf
a71e274fc3086de4c22e68ed1a58567ab63790cc47cd2e04367e843408b9a065
本稿は 2025 年 5 月 8 日にTalos Group
Authors