更新されたCisco Talos によると、犯罪者はボットネットの設定と実行に、ある調査会社のテストツールを使用しているとのことです。
Talos の研究者らが水曜日に発表したレポートによると、Breaking Security の Remcos リモート コントロール ツールと Octopus Protector 暗号化ユーティリティが、その他の Breaking Security ツールとともにボットネットの構築と維持に実際に使用されていることが判明した。
コメントの要請に応じなかったBreaking Securityは、利用規約の中で自社製品は合法的な目的のみに使用でき、製品を悪用した者からはライセンスを取り消すとしているが、Cisco Talosは、これらのツールは簡単にマルウェアとして使用され、ソフトウェアの悪用が蔓延していると主張している。
「Remcos を販売している組織は、このアプリケーションは合法的な使用のみを目的としていると主張しているが、我々の調査では、悪意のある攻撃者によっても依然として広く使用されていることが示されている」と報告書は主張している。
「場合によっては、攻撃者は戦略的に被害者をターゲットにし、さまざまな重要なインフラ分野のサプライチェーンの一部として運営されている組織へのアクセスを試みています。」
すごい、ファンシーベア:LoJackノートパソコン盗難防止ツールがクレムリンに電話をかけているところを捕まった
続きを読む
Talos によると、攻撃の中には、トルコ、スペイン、ポーランド、英国の企業に対する標的型攻撃に使用されているソフトウェアが含まれていることが確認されており、そのほとんどはスピアフィッシング攻撃のメール添付ファイルとして隠されているという。
インストールされると、Remcos を使用して、キーストロークのログ、リモート スクリーンショット、コマンド実行などのユーザー アクティビティを監視できるようになります。
このため、TalosはRemcosをリモートアクセス型トロイの木馬(RAT)ソフトウェアに分類し、企業がRemcosソフトウェアをシステムから検出・削除できるようデコーダースクリプトを配布しています。研究者らはまた、管理者に対し、Remcosのインストールを他のトロイの木馬やマルウェアと同様にスクリーニングし、対処するよう勧告しています。
「組織は、Remcos や実際に使用されている他の脅威に対抗するためのセキュリティ管理を確実に実装する必要がある」と研究者らは書いている。
Remcosは強力なツールであり、攻撃者がアクセスできる範囲を拡大する新機能の追加に向けて積極的に開発が進められています。これに対抗するために、組織はこの脅威だけでなく、インターネット上で拡散する可能性のある同様の脅威にも引き続き注意を払う必要があります。®
追加更新
Remcos 開発者の Francesco Viotto 氏は、自社のソフトウェアを擁護するために連絡を取ってきた。
「当社には、IT管理からサイバーセキュリティ、企業オーナー、個人ユーザーなど、幅広い顧客がいます」と彼はThe Registerに語った。
このソフトウェアの強力さと汎用性ゆえに、一部のユーザーが、所有権のないマシンを制御するためにこのソフトウェアを悪用していました。これは当社の利用規約で明確に禁止されており、ユーザーは当サイトに登録して購入する前に必ずこの利用規約に同意する必要があります。
当社では、ソフトウェアの正当な使用を保証するために、様々な対策を講じています。ユーザーがソフトウェアを悪用していることが判明した場合、直ちにライセンスを取り消すことができます。ライセンスが取り消されると、そのユーザーは、たとえその時点でRemcosを使用していたとしても、直ちに使用できなくなります。つまり、疑わしい活動が進行中であれば、直ちにそれをブロックできるということです。
また、各ユーザーには固有のライセンスコードが割り当てられており、それがRemcosに印刷されます。ユーザーが所有権を持たないコンピュータにRemcosをインストールした場合でも、誰が責任のあるユーザーであるかを簡単に確認できます。
誰かがこのツールを悪用しているのを見つけたら、breakingsecurity.net に abuse をメールで知らせるべきだと Viotto 氏は付け加えた。
