米国政府のサイバーセキュリティ機関は、犯罪的な金銭目的のハッカーが合法的なリモート デスクトップ ソフトウェアを使用して連邦政府機関に侵入したと警告しました。
CISAは共同で述べた 勧告 水曜日に国家安全保障局と共同で、FCEBとして知られる複数の連邦文民行政機関を標的とした「合法的なリモート監視および管理(RMM)ソフトウェアの悪用を含む広範なサイバーキャンペーン」を特定したと述べました。セキュリティ、財務省、司法省。
CISA は、連邦民間機関のネットワークを保護するために使用される政府運営の侵入検知システムであるアインシュタインを使用してレトロスペクティブ分析を行っているときに、10 月に 2 つの FCEB システムで疑わしい悪意のある活動を最初に特定したと述べました。 さらに分析した結果、他の多くの政府ネットワークも影響を受けているという結論に達しました。
CISA は、最初にこの活動を金銭目的のフィッシング キャンペーンに結び付けました 発見された 脅威インテリジェンス企業 Silent Push によるものです。 しかし、CISA は影響を受けた FCEB 機関の名前を挙げておらず、TechCrunch の質問には答えていません。
CISA によると、このキャンペーンの背後にいる無名の攻撃者は、2022 年 6 月中旬に、ヘルプ デスクをテーマにしたフィッシング メールを連邦職員の政府および個人のメール アドレスに送信し始めました。 これらの電子メールには、Microsoft や Amazon などの著名な企業になりすました「第 1 段階」の悪意のあるサイトへのリンクが含まれていたか、被害者にハッカーに電話するよう促し、ハッカーは従業員をだまして悪意のあるドメインにアクセスさせようとしました。
これらのフィッシング メールは、正規のリモート アクセス ソフトウェアである ScreenConnect (現在の ConnectWise Control) と AnyDesk のダウンロードにつながりました。名前のないハッカーは、被害者の銀行口座からお金を盗むための払い戻し詐欺の一部として使用しました。 これらの自己ホスト型のリモート アクセス ツールを使用すると、IT 管理者はユーザーの操作を最小限に抑えて従業員のコンピューターにほぼ瞬時にアクセスできますが、これらには サイバー犯罪者に悪用された 説得力のある詐欺を開始します。
この場合、CISA によると、サイバー犯罪者はリモート アクセス ソフトウェアを使用して従業員を騙し、銀行口座にアクセスさせました。 ハッカーは、リモート アクセスを使用して、受信者の銀行口座の概要を変更しました。 「攻撃者は、リモート アクセス ソフトウェアを使用して、被害者の銀行口座の概要情報を変更し、過剰な金額を誤って返金したことを示し、被害者にこの超過額を「返金する」ように指示しました」と CISA は述べています。
CISA は、攻撃者が政府ネットワークへの永続的なアクセスを維持するためのバックドアとして正規のリモート アクセス ソフトウェアを使用する可能性もあると警告しています。 「この特定の活動は金銭目的であり、個人を標的にしているように見えますが、このアクセスは、他のサイバー犯罪者と APT アクターの両方から、受信者の組織に対する追加の悪意のある活動につながる可能性があります」とアドバイザリは述べています。