マルチライセンス割引
Computer Security Action1 RMM を悪用するランサムウェア オペレーター

Action1 RMM を悪用するランサムウェア オペレーター

Computer SecurityMuraまで
翻訳内容:
日本語

Action1 RMM のようなリモート監視および管理 (RMM) ツールは、パッチ管理、セキュリティ ソフトウェアのインストール、セキュリティ ソフトウェアのインストールなどの顧客ネットワーク上のエンドポイントのリモート管理を可能にするため、マネージド サービス プロバイダー (MSP) とその顧客ベースにとってますます魅力的な選択肢となっています。トラブルシューティング。残念ながら、これらのツールの機能は脅威アクターの注目も集めており、企業ネットワークを侵害して永続性を維持するために悪用されています。

企業ネットワークを侵害する脅威アクター

セキュリティ会社からの最近のレポートや研究者からのツイートにより、ランサムウェア攻撃における Action1 RMM の悪用が明らかになりました。 Action1 を使用すると、攻撃者はコマンド、スクリプト、バイナリを実行して、侵害されたマシン上でマルウェア株をドロップできます。これらのアクションには、プラットフォーム内で「ポリシー」または「アプリ」を作成する必要があり、実行中にコマンドラインで検出された場合に悪用の兆候が示されます。

この問題に対応して、Action1 は AI フィルタリングなどのセキュリティ アップグレードを実装して、ユーザー アクティビティをスキャンして不審な動作パターンを探し、悪意のある可能性のあるアカウントを検出し、専門のセキュリティ チームにさらなる調査を警告します。

コスタス氏のツイートを裏付ける証拠

ボランティアアナリストグループ「The DFIR Report」のメンバーであるKostas氏は、Action1 RMMプラットフォームを悪用するランサムウェアオペレーターについてツイートし、このシステムを利用した攻撃増加の潜在的なリスクを強調した。これらの主張を検証するには、状況をより明確に理解するために追加の証拠が必要です。

BlackBerry インシデント対応チームの調査に似た TTP

Kostas氏のツイートを裏付けるさらなる証拠は、BlackBerry Incident ResponseチームによるMontiランサムウェアに関する事件の調査からもたらされています。この例では、攻撃者はLog4Shell の脆弱性を悪用して、クライアントの VMware Horizon 仮想化システムに侵入しました。攻撃者はユーザーのデスクトップとサーバーを暗号化し、特に、Action1 を含む 2 つのリモート監視およびメンテナンス (RMM) エージェントもダウンロードしてインストールしました。

研究者らは、RMM ソフトウェアが攻撃者によってネットワーク内での永続性を確立し、追加のリモート アクセスを容易にするために使用されたと考えており、この方法で Action1 を悪用した最初の既知のインシデントとなります。 Conti オペレーターが以前に採用したこの戦術は、Action1 のような正規の RMM ソフトウェアの多機能性を悪用して悪意のある活動を実行するサイバー犯罪者の進化と適応を示しています。

Action1 悪意のある利用と闘う

Action1 は、自社のリモート監視および管理 (RMM) 製品がランサムウェア オペレーターによって悪用されている問題に積極的に取り組んでいます。同社は、ユーザー ベースに効率的なリモート管理ソリューションを提供しながら、プラットフォームの悪意のある使用に対抗するためにさまざまなセキュリティ アップグレードを実装しました。

セキュリティアップグレード、AIフィルタリングの採用

Action1で実現するセキュリティ対策の一つがAIフィルタリングの利用です。このテクノロジーは、ユーザーのアクティビティをスキャンして疑わしい動作パターンを検出し、悪意のある可能性のあるアカウントを効果的に検出します。 Action1 は、AI 機能を活用することで、自社のプラットフォームが脅威アクターによってランサムウェア攻撃に悪用されるリスクを軽減することを目指しています。

Monti ランサムウェア株

Monti は比較的新しいランサムウェア株で、専門家によってConti ファミリの新しい亜種とみなされています。この株は、その前身である Conti をサイバー空間で重大な脅威とした戦術を使用して観察されています。

Conti ファミリーの新しいバリアント

モンティ氏は、ランサムウェア攻撃を開始するためのリモート管理ソフトウェアの悪用など、 コンティ氏を深刻な脅威にした戦術の多くを継承しています。 Monti ランサムウェアのオペレーターは、Conti ファミリーが採用した成功したアプローチを適応的に採用できることが証明されています。

リモート管理ソフトウェアの悪用

Conti は、AnyDesk などの正規のリモート管理ソフトウェアを悪用して、ネットワークへの不正アクセスを取得し、攻撃を容易にしたことで悪名が知られていました。 Monti 氏も同様のアプローチを採用しており、マネージド サービス プロバイダーが顧客ネットワーク上のリモート エンドポイント管理に使用する Action1 RMM の悪用に関する最近の事件も発生しています。

コンティとモンティのギャングの間につながりがある可能性

Conti ランサムウェア オペレーターと Monti ランサムウェア オペレーター間の正確な関係は依然として不明です。しかし、彼らの戦術、技術、手順の類似性は、モンティの背後にある犯罪者がコンティ・ギャングの影響を受けているか、またはコンティ・ギャングと直接関係している可能性を示唆しています。接続に関係なく、Monti はランサムウェアの一種と実証済みの戦術を組み合わせることで、企業とそのシステムに重大な脅威をもたらします。

読み込んでいます...