CISA: Federal agencies hacked using legitimate remote desktop tools
2023/01/25 BleepingComputer — 今日の共同アドバイザリで CISA/NSA/MS-ISAC は、正規の RMM (Remote Monitoring and Management) ソフトウェアを悪意の目的で、攻撃者たちが使用する傾向が強まっていることを警告した。さらに心配なことに、2022年10月中旬の Silent Push レポートの発表後に、複数の連邦民間行政機関 (FCEB) ネットワーク内において、CISA が EINSTEIN 侵入検知システムで管理しているにも関わらず、悪意のアクティビティが発見されている点だ。
このアクティビティは、Silent Push が報告した金銭的な動機のある広範なフィッシング・キャンペーンに関連しており、2022年9月中旬に FCEB ネットワークで1件が発見された後に、多くの FCEB ネットワーク上でも検出された。
このキャンペーンの背後にいる攻撃者は、少なくとも 2022年6月中旬以降に、ヘルプデスクをテーマにしたフィッシング・メールを、連邦政府職員個人の電子メール・アドレスに送信するようになったといわれる。
それらの組織はアドバイザリで、「2022年6月以降において、サイバー犯罪行為者が FCEB 連邦職員の個人および政府の電子メール・アドレスに対して、ヘルプデスクをテーマにしたフィッシング・メールを送信したと評価している。これらのメールには、第一段階の悪質ドメインへのリンクが含まれている場合がある。また、サイバー犯罪者に対して受信者から電話をかけるよう促し、第一段階の悪質ドメインを訪問するよう促す」と述べている。
今回のキャンペーンでも用いられている、FCEB の職員を狙うコールバック・フィッシング攻撃は、2021年 Q4 以降に 625% という大幅な伸びを示しており、ランサムウェア・ギャングにも採用されている。これらのグループには、Conti ランサムウェアから分裂した、Silent Ransom Group/Quantum (現 Dagon Locker)/Royal などが含まれている。
通常のフィッシング・メールとは異なり、コールバック・フィッシングでは、脅威アクターの Web サイトへのリンクは含まれない。その代わにり、高額なサブスクリプション更新などを誘い文句を用い、記載された電話番号に対して、ターゲットに電話をかけるように仕向ける。
この番号にターゲットが電話をかけると、更新料の払い戻しに必要なソフトウェアをダウンロードするために、特定の Web サイトを開くよう指示される。このメールに悪意のあるリンクが埋め込まれている場合には、フィッシング・ドメインとして Microsoft/Amazon/PayPal などの有名ブランドが使用される。
埋め込まれたリンクをクリックすると、デフォルトの Web ブラウザが開き、第二段階のドメインに接続され、攻撃者の RMM サーバーに接続する AnyDesk/ScreenConnect のポータブル・バージョンをダウンロードするマルウェアが、自動的にダウンロードされる。
ポータブルなリモート・デスクトップ・ソフトウェアを使用することで、管理者権限の不正取得やソフトウェアのインストールを必要とせずに、ローカル・ユーザーとしての脅威アクターは、ターゲットのシステムにアクセスできる。したがって、ソフトウェア・コントロールは回避され、一般的なリスク管理の前提が覆されることになる。
還付金詐欺に関連したFCEBのネットワーク侵害
この脅威アクターは、ターゲット・デバイス上での足場の構築に成功すると、そのアクセス権を利用して被害者を騙し、銀行口座にログインさせることで還付金詐欺を開始した。
NSA のアドバイザリには、「この活動の背景には金銭的な動機があり、個人をターゲットにしているように見えるが、他のサイバー犯罪者や APT アクターが受信者の組織を狙う、さらなる悪意のアクティビティにつながる可能性がある」と述べている。悪意のサイバー・アクターは同じ手法を利用して、国家安全保障システム (NSS)/国防総省 (DoD)/国防産業基地 (DIB) のネットワークを狙い、職場と自宅の両方のデバイスとアカウントで、正規の RMM ソフトウェアを使用できるようになる」と付け加えられている。
CISA/NSA/MS-ISAC の各組織は、潜在的な悪用や侵害を検知するために、この勧告で共有された侵害の指標を使用するよう、防御者に呼びかけている。
このキャンペーンで使用されている第一段階のドメイン名は、IT ヘルプ/サポートをテーマにしたソーシャル・エンジニアリング詐欺で、一般的に利用される命名パターンに従っている:
myhelpcare[.]online. myhelpcare[.]cc
hservice[.]live
gscare[.]live
nhelpcare[.]info
deskcareme[.]live
nhelpcare[.]cc
win03[.]xyz
win01[.]xyz
247secure[.]us.
BleepingComputer が確認した範囲では、このキャンペーンでアクティブなドメインとして winbackup01[.]xyz が見つかった。
CISA は、ネットワーク防御担当者に対して、侵害の指標/ベストプラクティス/推奨される緩和策について、この勧告を確認するよう促している。この勧告が強調するのは、RMM を永続化ツールとして、また、C2 バックドアとして使用する、新たなタイプの脅威である。
また、このようなリスクを軽減し、侵入してくる攻撃からネットワークを確実に保護するために考案された、対策リストも提供されている。潜在的なセキュリティ侵害から身を守る企業や組織は、インストールされたリモート・アクセス・ツールを監査し、許可された RMM ソフトウェアを特定する必要がある。
不正な RMM ソフトウェアの実行を防止するための、アプリケーション・コントロールも有用である。また、VPN や VDI などの承認されたリモートアクセス・ソリューション上でのみ、正規の RMM ソフトウェア使用を許可することも推奨される。さらに、RMM 標準ポートおよびプロトコルでの、インバウンド/アウトバウンド接続をブロックすることも推奨される。
さらにセキュリティを強化するために、組織はトレーニング・プログラムやフィッシング演習を実施し、電子メールに関連するリスクについて、従業員の意識を高める必要がある。
ちょっと、話が込み入っていますが、複数の連邦民間行政機関 (FCEB) ネットワーク内において、市販の RMM ツールを介した職員への不正アクセスが生じ、そこで、コールバック・フィッシングが行われているようです。そして、RMM が侵害されているため、さらなる攻撃へと発展していくことが懸念されているわけです。なお、CISA の言う EINSTEIN とは、内製 (?) の侵入検知システムのようです。
IoT OT Security News 
You must be logged in to post a comment.