セキュリティ企業Huntressの調査により、「Crazy」と呼ばれるランサムウェア集団が、正規の従業員監視ソフトウェアやリモートサポートツールを悪用して企業ネットワークに潜伏し、ランサムウェア展開の準備を進めていることが明らかになった。正規ツールを使うことで検知を回避するこの手法は、企業のセキュリティ対策に新たな課題を突きつけている。
この記事のポイント
- Crazyランサムウェア集団が「Net Monitor for Employees Professional」と「SimpleHelp」という正規ツールを悪用し、企業ネットワークに持続的アクセスを確保している
- 初期侵入にはSSL VPNの漏洩した認証情報が使われており、多要素認証(MFA)の重要性が改めて浮き彫りになった
- 攻撃者は暗号資産関連のキーワードも監視しており、ランサムウェアだけでなく金融窃取も視野に入れている
悪用される2つの正規ツール
攻撃者が悪用しているツールの1つ目は「Net Monitor for Employees Professional」という従業員監視ソフトウェアだ。これはWindowsインストーラー(msiexec.exe)を使って開発元サイトから直接インストールされる。本来は企業が従業員のPC利用状況を監視するためのツールだが、攻撃者はこれを利用してリモートデスクトップの閲覧、ファイル転送、コマンド実行、リアルタイムのシステム活動監視といった機能を手に入れている。正規ソフトウェアであるため、セキュリティソフトによる検知が極めて困難である点が厄介だ。
2つ目は「SimpleHelp」というリモートサポートツールで、PowerShellコマンド経由で展開される。攻撃者はこのバイナリを巧妙に偽装しており、vshost.exe(Visual Studioのプロセスに見せかける)やOneDriveSvc.exe(C:\ProgramData\OneDriveSvc\に配置してOneDriveサービスに偽装)といったファイル名を使用している。これにより、システム管理者やセキュリティツールの目を欺く仕組みとなっている。
攻撃の手口と検知回避テクニック
初期侵入はSSL VPNの漏洩した認証情報を通じて行われている。これはフィッシングや情報窃取マルウェア(インフォスティーラー)によって事前に取得されたものと考えられ、リモートアクセスサービスに多要素認証(MFA)を導入する重要性を改めて示している。
ネットワークに侵入した攻撃者は、まずローカル管理者アカウントの有効化を試みる。具体的には net user administrator /active:yes というコマンドを実行し、より高い権限でのアクセスを確保しようとする。
検知回避の面では、Windows Defenderの無効化が主要な手法として挙げられる。攻撃者は関連サービスの停止および削除を試みることで、エンドポイント保護を排除しようとする。さらに、正規の管理ツールを使うことで通常のネットワークトラフィックに紛れ込み、複数の冗長なアクセス手段を展開することでいずれかが検知・ブロックされても別のルートで侵入を継続できるようにしている。
暗号資産の監視活動
特に注目すべきは、攻撃者がSimpleHelpの監視ルールを使って暗号資産関連のキーワードをトラッキングしている点だ。監視対象にはMetaMask、Exodus、Etherscan、BSCscanといったウォレットサービスやブロックチェーンエクスプローラーのほか、Binance、Bybit、Kucoin、Bitrue、Poloniexといった暗号資産取引所が含まれている。さらに、RDP、AnyDesk、UltraView、TeamView、VNCといったリモートアクセスツールも監視対象となっている。
Huntressの研究者によると、「ログには、暗号資産関連のキーワードに対するトリガーイベントとリセットイベントがエージェントによって継続的に循環している様子が記録されている」とのことで、攻撃者がランサムウェア展開だけでなく、金融窃取の機会も狙っていることが伺える。
攻撃者の特定と関連性
複数のインシデントにおいて同一のファイル名が使用されていること、およびC2(コマンド&コントロール)インフラが重複していることから、Huntressはこれらの攻撃が単一のオペレーターまたはグループによるものだと強く推定している。組織的な犯行であり、手法が洗練されている点が警戒を要する。
知っておくと便利なTips
- 企業ネットワークでは、承認されていないリモート監視・サポートツールのインストールを常時監視することが重要。EDR(Endpoint Detection and Response)でmsiexec.exeの不審な実行を検知ルールに加えることを推奨
- SSL VPNを含むすべてのリモートアクセスサービスにMFA(多要素認証)を必ず導入する。漏洩した認証情報だけでは侵入できない環境を構築することが最も効果的な防御策
- SimpleHelpやNet Monitorなどの正規ツールであっても、承認されていないインストールはアラート対象とするポリシーを策定すべき
まとめ
今回の事例は、攻撃者が正規の管理ツールを「武器化」するLiving off the Land(環境寄生型)攻撃の進化形を示している。従来のマルウェアベースの攻撃と異なり、正規ソフトウェアを悪用する手法はシグネチャベースの検知を容易にすり抜けるため、振る舞い検知やゼロトラストの考え方に基づいた多層防御がますます重要になっている。特にSSL VPN認証情報の保護とMFAの導入は、初期侵入を防ぐ最も効果的な対策であり、すべての組織が早急に取り組むべき課題である。暗号資産の監視活動が確認されている点からも、攻撃者の目的が多角化していることを認識し、包括的なセキュリティ対策を講じる必要がある。
コメント