Hackers start abusing Action1 RMM in ransomware attacks
2023/04/15 BleepingComputer — セキュリティ研究者たちは、サイバー犯罪者が侵害したネットワーク上で、コマンド/スクリプト/バイナリなどを永続的に実行するために、リモート・アクセス・ソフトウェアである Action1 を使用するケースが増えていると警告している。Action1 は RMM (Remote Monitoring and Management) 製品であり、ネットワーク上のエンドポイントをリモートで管理するために、MSP (Managed Service Providers) や企業で使用されている。
管理者は、このソフトウェアを使用することで、パッチ管理/セキュリティ・アップデートの展開の自動化/ソフトウェアのリモート・インストール/ホストのカタログ化/エンドポイント上の問題のトラブルシューティング/リアルタイムのレポート取得などが可能になる。
この種のツールは、管理者にとって極めて便利なものだが、マルウェアの展開やネットワークでの永続化を狙う脅威アクターにとっても有益なものとなる。
システムとしてバイナリを実行する
ボランティアのアナリスト・グループ The DFIR Report のメンバーである Kostas は、複数の脅威アクターが、偵察活動やネットワークホスト上でシステム特権を持つコードを実行するために、Action1 RMM プラットフォームを悪用していることを発見した。
Kostas によると、脅威アクターは Action1 エージェントをインストールした後に、プロセスモニター/PowerShell/コマンドプロンプトなどの、攻撃で必要なバイナリの実行を自動化するポリシーを作成していたという。
source: Kostas
さらに、リモート・アクセス機能とは別に、Action1 が 100 エンドポイントまで無料で利用できることを、Kostas は強調している。
ランサムウェア攻撃に悪用される Action1
Action1 RMM を悪用するインシデントに関する調査を試みたところ、複数の脅威アクターによるランサムウェア攻撃が観測されたという情報を、、BleepingComputer は得ている。
同製品は、異なるマルウェア株を使用した最近のランサムウェア攻撃の、少なくとも3件の初期段階で使用されているようだが、インシデント中に展開されたランサムウェアは特定できなかった。
しかし、その戦術/技術/手順 (TTP) は、昨年の夏に BlackBerry インシデント・レスポンス・チームが調査した攻撃と、類似しているということがわかった。
脅威研究者たちは、この攻撃を、当時は無名だった Monti というグループによるものだと考えている。同グループは、Log4Shell の脆弱性を悪用して環境に侵入していたという。
BlackBerry の分析によると、Monti の攻撃における IoC (Indicators of Compromise) の大部分は、Conti シンジケートに起因するランサムウェア・インシデントで見られたものだったが、その目立ったのは Action1 RMM の悪用だった。
Conti 攻撃はリモート・アクセス・ソフトウェアに依存していたが、典型的な選択肢は AnyDesk アプリケーションと Atera RMM のトライアル・アクセスであり、侵害したネットワークにエージェントをインストールし、すべてのホストへのリモート・アクセスを取得するものだった。
また、ネットワーク上の Windows/Linux/Mac システムを管理する Zoho ManageEngine Desktop Central によるイニシャル・アクセスを、ブローカーたちが販売するケースもあった。
ランサムウェアの観点から見ると、正規の RMM ソフトウェアは、脅威アクターのニーズに応じた十分な汎用性を持ち、広範なネットワークをカバーしているが、環境内のセキュリティ・エージェントに脅威とは判断されていない。そのため、脅威アクターが永続性を確保するのに、最適なツールだ言える。
AI ベースのフィルタリング
Action1 RMM は、世界中で何千人もの管理者に使用されている。しかし、脅威アクターが攻撃後の横移動のために、同製品を悪用していることを、このベンダーは認識しているようだ。
Action1 Corporation の VP of Vulnerability and Threat Research/Co-Founder の Mike Walters は、BleepingComputer に対して、同社が昨年に人工知能に基づくシステムを導入し、ユーザーの異常行動を検知することで、ハッカーによるプラットフォームの悪用防止に努めていると語った。
彼は、「我々は昨年に、脅威アクターに対するフィルタリング・システムを導入した。それにより、ユーザーの行動をスキャンし、疑わしい行動パターンを検知し、潜在的な悪意のアカウントを自動的に停止している。それに加えて、問題を調査するために 、Action1 の専門セキュリティ・チームに警告を発した」とコメントしている。
さらに彼は、Action1 プラットフォームの悪用を阻止するための、新たな対策に取り組んでいると述べており、Action1 がサイバー攻撃に活用されたケースについて、「被害者と法的機関の両方との協力に完全にオープンである」と付け加えている。
本文の冒頭に書かれている、管理者にとって便利なものは、脅威アクターにとっても便利なものという一文が、この問題の本質ですね。この Action1 は、MSP にも利用されているようですが、2023/04/10 には「MSP たちは何を考える? セキュリティ・サービスの強化に同意する経営者と技術者」という記事をポストしています。また、2023/01/25 には、「CISA が連邦政府組織に警告:正規の RMM ソフトウェアを介した攻撃が蔓延」という記事もありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.