リモート監視・管理（RMM）ツール、攻撃者の第一選択肢に

主な調査結果

• Eメールキャンペーンの第一段階のペイロードとして、正規のリモート監視・管理（RMM）ツールを使用する攻撃グループが増えています。
• RMMがインストールされると、その後、データ収集、金銭窃盗、ラテラルムーブメント、ランサムウェアなどに代表されるマルウェアのインストールに使用される可能性があります。
• RMMが攻撃キャンペーンや攻撃チェーンに利用されるようになって久しいが、Eメールデータの第一段階のペイロードとして利用されるようになったことは注目に値します。
• RMMツールの増加は、初期アクセスブローカーが通常使用する大規模なローダーやボットネットの減少と一致しています。

 

概要

サイバー攻撃の第一段階のペイロードとして、正規のRMMツールをEメールの攻撃キャンペーンに使用する攻撃グループが増えています。 RMMソフトウェアは、情報技術（IT）管理者がコンピュータ群をリモート管理するために、企業で正規に使用されています。 悪用された場合、このようなソフトウェアはリモート・アクセス・トロイの木馬（RAT）と同じ機能を持ち、金銭的な動機に基づく脅威の場合は特に、Eメールを通じてRMMツールを配信することが多くなっています。

2024年、プルーフポイントのリサーチャーは、ScreenConnect、Fleetdeck、Ateraなどのペイロードを使用することを含め、文書化された攻撃キャンペーンにおいてサイバー犯罪の攻撃グループによるRMMツールの使用が顕著に増加していることを観察しました。 攻撃キャンペーンとは、プルーフポイントのリサーチャーが分析した、関連する脅威活動の時限的なセットとプルーフポイントでは定義しています。 注目すべきは、プルーフポイントのインテリジェンスデータでは、これまで NetSupport が最も頻繁に観測されていた RMM でしたが、2024 年を通してその使用は減少し、他の RMM がより目立つようになったことです。 この傾向は 2025 年も続いています。

また、RMMツールの利用が増加していることは、電子犯罪の分野で著名な初期アクセスブローカーによって最も頻繁に使用される著名なローダーやボットネットマルウェアが減少していることと一致しています。

 

RMMとイニシャル アクセス ブローカー(IAB)

通常、ランサムウェアのような攻撃では、RMMは全体的な攻撃チェーンの一部として使用され、最初のアクセスが達成されると、後続のペイロードやテクニックが観測されます。 感染は、Eメールやその他の方法で配信されるローダーから発生する可能性があります。 RMMを悪意のある活動に使用することは一般的であり、攻撃者は、環境内の既存のリモート管理ツールを活用したり、侵害されたホストに新しいRMMソフトウェアをインストールして永続的かつ横方向に移動させるなど、さまざまな方法でこれらのツールを悪用することができます。

サポート詐欺（TOAD）攻撃を行う攻撃者は、RMMツールを頻繁に使用します。 このような攻撃では、攻撃者は本文または添付PDFに電話番号を記載した電子メールを送信します。 受信者は、請求書に異議を唱えるためにその電話番号に電話するよう指示されますが、その電話番号は攻撃者のものであり、最終的に受信者を電話に誘導すると、RMMやその他のマルウェアをインストールするよう指示します。 通常、TOADアクターによって配信されるペイロードには、AnyDesk、TeamViewer、Zoho、UltraViewer、NetSupport、ScreenConnectなどがあります。

2024年以前のProofpointのキャンペーンデータでは、Eメールで直接配信される第一段階のペイロードとしてのRMMの使用は、他のマルウェア配信ほど一般的ではなく、2022年以降のキャンペーンのほとんどがNetSupportを配信していました。 しかし、キャンペーンデータにおけるRMMの存在は、2024年半ばから増加し始め、特にScreenConnectの出現頻度が非常に高くなっています

図 ：RMMツールを含む2022年1月から2024年12月までのキャンペーン

 興味深いことに、プルーフポイントのデータで観測されたRMMの増加は、Eメール攻撃キャンペーンデータで観測されたイニシャル アクセス ブローカー（IAB）で人気のあるローダーやボットネットの減少と一致しています。 プルーフポイントでは、2024年半ば以降、TA577、TA571、TA544など、複数の追跡対象IABの活動が大幅に減少しているか、メールキャンペーンデータから完全に姿を消していることを確認しています。 これらの攻撃者は、Eメールではなく、他の初期アクセス方法を使用しているか、または再構築している可能性があります。 例えば、TA577キャンペーンは、以前、Black Bastaランサムウェアにつながることが確認されています。 最近のBlack Bastaインシデントに関するサードパーティの報告によると、初期アクセスはMicrosoft Teamsを活用したソーシャルエンジニアリング攻撃によって開始されたようです。

 

図: Eメール脅威データにおけるIABが使用したマルウェアに関連するキャンペーン（2022年～2024年）

IABメールによる脅威活動の減少は、IcedID、SystemBC、Pikabot、SmokeLoader、Bumblebee、およびTrickbotのインフラを破壊した世界的な法執行活動であるOperation Endgameによる可能性が高いです。 これらの主要なマルウェアファミリーへのアクセスが制限されたことで、IABの攻撃者は、典型的なEメールベースの攻撃を行うことができなくなりました。 ブロックチェーン・インテリジェンス企業であるChainalysis社の報告によると、ランサムウェアによる支払いも2024年後半には全体的に減少しています。 2024年の支払額は全体で35%減少しました。

プルーフポイントは、RMMキャンペーンの多くを追跡対象の攻撃グループにアトリビューションさせていないため、研究者が追跡したIAB攻撃者が必ずしもEメールによるRMM配信に軸足を移しているとは限りません。 しかし、2024年を通じて状況が劇的に変化していること、主要なボットネットやローダーが破壊された後、新しいツールや異なるツールが増加していることは興味深いことです。

RMMのキャンペーン量は増加していますが、メッセージ量は1キャンペーンあたりほんの一握りのものから数千のものまで様々です。 しかし、全体的なメッセージ量は、過去のIABマルスパム活動よりもまだ少ないようです。

 注目すべきは、エクスプロイト後の活動の追跡と修復を専門とするRed CanaryとDFIR ReportがProofpointと共有した情報によると、第2段階のペイロードとして最もよく使用されているRMMは、Proofpointのデータで第1段階のペイロードとして最も頻繁に観測されているものとは異なるということです。ETPRO Telemetry Edition を実行している OPNsense ユーザーのデータによると、Emerging Threats の検出結果の分析によると、ネットワークアクティビティに最も頻繁に登場する RMM は TeamViewer であり、Atera と NetSupport はそれほど頻繁に登場しません。 (これは、悪意のある使用が確認されたのではなく、検出されたことに基づいています)。

 

攻撃キャンペーン例

TA583

 プルーフポイントは最近、新たな攻撃グループTA583 を指定しました。 TA583 は、ScreenConnect を配布する最も著名な脅威活動セットの 1 つです。 現在、非常に活発な攻撃グループであり、毎日複数のキャンペーンを実施していますが、そのほとんどがこの RMM を使用しています。 キャンペーンの規模と範囲はさまざまで、数万件のメッセージを含むものもあれば、Proofpoint のテレメトリで数人だけを標的にするものもあります。

TA583は、標的環境でリモートアクセスを取得することを目的とするサイバー犯罪の脅威行為者です。  システムが侵害された後の具体的な目的はプルーフポイントの可視範囲外ですが、アカウントの乗っ取り（ATO）、クレデンシャルの窃取、データの流出、他の攻撃グループへの初期アクセスの仲介などが考えられます。  プルーフポイントは、2022年以降、電子メールのおとり文書、標的設定、使用されたマルウェア、ネットワークインフラを通じてこの行為者を追跡してきましたが、2025年1月にTA番号を指定したのみです。2024年半ば以前、この攻撃グループは主にAsyncRATを展開し、第一段階のペイロードとしてScreenConnectを使用する頻度はそれほど高くありませんでした。しかし、2024 年半ば以降、この行為者は主に初期アクセス ペイロードとして ScreenConnect を使用しています。また、Proofpoint は、ScreenConnect が感染後に AsyncRAT をダウンロードしてインストールするのを何度か確認しており、RMM が他のマルウェアのローダーとして頻繁に使用されていることを示唆しています。

現在、観測されたキャンペーンの多くは URL を使用して ScreenConnect を配信していますが、HTML や PDF の添付ファイルを使用しているものも多くあります。 これらの URL は、電子メールの短縮サービスや Dropbox や Bitbucket などの一般に利用可能なサービスを頻繁に使用しています。 この攻撃グループは、米国社会保障庁に関連するルアーを日常的に使用しています。 その他にも、カナダ年金機構、米国内国歳入庁、米国郵政公社（USPS）、様々な電気通信事業者などが確認されています。

例えば、2025年1月6日、プルーフポイントは米国社会保障庁になりすましたキャンペーンを確認しました。 メッセージには、実行ファイルにつながる URL が含まれており、実行されると ScreenConnect がインストールされました。

 

図：米国社会保障庁になりすましたTA583ルアー

 

Eメールを配信するために、プルーフポイントはTA583が一般的に以下の方法を使用することを確認しています：

• 通信プロバイダーが提供する無料の消費者向けメールアカウント
• メールマーケティングおよびアンケートプラットフォーム（Sendgrid、Mailjet、Qualtricsなど）
• 侵害されたメールアカウント

TA583 は、正規の署名付き ScreenConnect インストーラーを使用し、DDNS プロバイダーとアクター所有のコマンド＆コントロール（C2）サーバーの両方を使用します。

 

TA2725

TA2725を含め、他の攻撃グループも第一段階のペイロードとしてRMMツールを採用しています。 TA2725は、プルーフポイントが2022年3月から追跡している攻撃グループで、Brazilian Banking Malware（Mispadu、Astaroth、歴史的にGrandoreiroを含む）とクレデンシャルフィッシングを使用して、主にブラジル、メキシコ、スペインの組織を標的としていることで知られています。 TA2725は通常、GoDaddyのバーチャルホスティング上でURLリダイレクトをホストしています。

2025 年 1 月、TA2725 は初めて ScreenConnect の配信を開始しました。 キャンペーンには、ScreenConnect のインストールにつながる圧縮された実行可能ファイルへの URL が記載されたエネルギー請求書のルアーが含まれていました。 これらのキャンペーンは、メキシコの組織のみを対象としていました。

図 2025年1月14日にScreenConnectで実施されたスペイン語のTA2725キャンペーン

このようなペイロードを使用する他のグループの拡大と有効性を考えると、より多くのサイバー犯罪者が第一段階のペイロードとしてRMMツールを採用する可能性があります。

 

ZPHP および UAC-0050

現時点では、Proofpoint のキャンペーンデータで NetSupport が観測されることは少なくなっていますが、電子メールを介して第 1 段階のペイロードとして NetSupport を配布する攻撃グループはまだ一握りです。

例えば、プルーフポイントは、2023年6月にNetSupport RATにつながる偽のアップデートキャンペーン群を初めて確認しました。 プルーフポイントはこの活動を ZPHPと呼んでおり、その活動は毎週のキャンペーンで継続中です。 ZPHPインジェクトは、侵害されたウェブサイトのHTMLコードに追加される単純なスクリプトオブジェクトです。ペイロードは、base64エンコードされたzipファイル経由でダウンロードされます。zip圧縮されたブラウザアップデートのペイロードには通常、悪意のあるNetSupport RATのペイロードをホストにロードするJavaScriptファイルが含まれています。プルーフポイントは、この .zip ファイルに Lumma Stealer をロードする実行ファイルが含まれていることも確認しています。

特筆すべきは、現在のNetSupportのコンフィギュレーションは以下の通りであることです：

     Licensee: XMLCTL 
     SerialNumber: NSM303008 

研究者たちは、ZPHPがこのライセンスを使用しているのを2024年6月に初めて確認し、それ以来ZPHPのキャンペーンで使用されています。

注目すべきことに、このライセンスは、ウクライナの組織をリモートアクセストロイの木馬(RAT)で通常狙う攻撃グループであUAC-0050が最近配信したNetSupportのペイロードと重複しています。 2025年1月14日、プルーフポイントのリサーチャーは、この攻撃グループが、最終的に「XMLCTL」ライセンスでNetSupportのインストールに誘導するURLを含むzip形式のPDFを配信していることを確認しました。 UAC-0050はこれまでRemcosやLumma Stealerなど他のマルウェアを使用していましたが、LitemanagerやRemote Manipulator System (RMS)などのRMMを使用していました。リサーチャーは、1月に同じライセンスを使用した3回のUAC-0050 NetSupportキャンペーンを観測しています。

ライセンスに加え、UAC-0050はZPHPと同様の配信メカニズムも使用しており、URLはJavaScriptファイルにつながり、NetSupportのペイロードを含むZIPファイルをダウンロードします。 さらに、両者が使用するJavaScriptコードも類似しており、変数や関数の命名規則が若干異なるものの、スクリプト自体は機能的に同一です。

重複する NetSupport のコンフィギュレーションとコードの類似性は、必ずしも同じ攻撃者による活動であることを示すものではありません。このペイロードと配信方法のクラック版または市販版が存在する可能性があります。

 

フランスを目標とするRMM

BluetraitはProofpointのデータではあまり観測されていないRMMですが、2024年10月以降、少なくとも1つの攻撃活動クラスターがBluetraitを定期的に使用しています。 キャンペーンの量は通常少なく、1キャンペーンあたり数通から500通未満です。 メッセージは通常フランス語または英語で書かれており、支払いをテーマにした誘い文句が含まれています。 例えば、プルーフポイントは2025年12月21日にチケット予約の決済をテーマにしたキャンペーンを観測しました。

図：Bluetraitを配信するフランス語の電子メール

このキャンペーンでは、メッセージに圧縮されたMSI添付ファイルが含まれており、実行されるとBluetraitがインストールされました。 この一連の活動では、主に圧縮されたMSI添付ファイルへ誘導するURL付きのPDFが使用され、それほどではありませんが、電子メールに直接MSI添付ファイルが含まれることもあります。 MSI ファイルは Bluetrait のインストールにつながります。 注目すべきことに、この脅威クラスターはFleetdeck RMMも同様の誘い文句と手法で配信しています。

 

ベストプラクティス

マルウェアのキャンペーンに正規のRMMツールを使用する攻撃者が増えているため、プルーフポイントでは次のことを推奨しています：

• 組織の情報技術管理者が承認・確認していない RMM ツールのダウンロードとインストールを制限する。
• Emerging Threats ルールセットの使用を含め、ネットワーク検出を実施し、エンドポイント保護を使用する。 これにより、RMM サーバーへのネットワーク・アクティビティを警告することができる。
• ユーザがアクティビティを識別し、疑わしいアクティビティをセキュリティ・チームに報告できるように訓練する。 このトレーニングは、既存のユーザ・トレーニング・プログラムに簡単に統合できる。

 

結論

プルーフポイントは、第一段階のペイロードとしてRMMツールの利用が増加すると予測しています。 攻撃者が攻撃者所有のリモート監視ツールを作成し配布することは非常に簡単であり、正規のソフトウェアとして使用されることが多いため、エンドユーザは他のリモートアクセス型トロイの木馬よりもRMMのインストールを疑うことが少ないかもしれません。 さらに、このようなツールは、インストーラが悪意を持って配布される署名された正規のペイロードであることが多いため、アンチウイルスやネットワーク検出を回避できる可能性があります。

プルーフポイントは、ConnectWise ScreenConnect、Red Canary、およびDFIR Reportの同志が、この活動に関する情報共有に協力してくれたことに感謝します。

 

ET シグネチャの例

2837962 – ScreenConnect - Establish Connection Attempt

2836266 – TeamViewer HTTP Checkin

2857201 – Atera DMM Related Domain in DNS Lookup

2056777 – RMM Software Domain in DNS Lookup (bluetrait .io)

2054938 – PDQ Remote Management Agent Checkin

2833909 – UltraVnc Session Outbound

 

IOC（Indicator of Compromise / 侵害指標）の例