米国政府のサイバーセキュリティ機関は、金銭目的の犯罪的ハッカーが正規のリモートデスクトップソフトウェアを使用して連邦政府機関に侵入したと警告した。
CISAは水曜日、国家安全保障局との共同勧告の中で、複数の連邦民間行政機関(FCEB)を標的とした「合法的なリモート監視・管理(RMM)ソフトウェアの悪意ある使用を伴う広範なサイバー攻撃」を特定したと発表した。このリストには国土安全保障省、財務省、司法省が含まれている。
CISAは、連邦政府機関のネットワーク保護に使用されている政府運用の侵入検知システム「アインシュタイン」を用いた遡及分析中に、10月に2つのFCEBシステムで悪意のある活動の疑いを初めて確認したと述べた。その後の分析により、他の多くの政府ネットワークも影響を受けていることが判明した。
CISAはこの活動を、脅威インテリジェンス企業Silent Pushが初めて発見した金銭目的のフィッシング攻撃と関連付けました。しかし、CISAは影響を受けたFCEB機関の名前を明らかにしず、TechCrunchの質問にも回答しませんでした。
CISAによると、このキャンペーンの背後にいる匿名の攻撃者は、2022年6月中旬から、連邦政府職員の政府および個人のメールアドレスに、ヘルプデスクを装ったフィッシングメールを送信し始めました。これらのメールには、MicrosoftやAmazonなどの有名企業を装った「第一段階」の悪意のあるサイトへのリンクが含まれていたり、被害者にハッカーに電話をかけるよう促したりしていました。ハッカーはその後、職員を悪意のあるドメインに誘導しようとしました。
これらのフィッシングメールは、正規のリモートアクセスソフトウェア(ScreenConnect(現ConnectWise Control)とAnyDesk)のダウンロードに繋がりました。匿名のハッカーは、これらを返金詐欺の一環として使用し、被害者の銀行口座から金銭を盗み出しました。これらのセルフホスト型リモートアクセスツールは、IT管理者がユーザーによる操作を最小限にすることで、従業員のコンピュータにほぼ瞬時にアクセスすることを可能にしますが、サイバー犯罪者はこれを悪用し、本物らしく見える詐欺を実行しています。
CISAによると、このケースでは、サイバー犯罪者はリモートアクセスソフトウェアを用いて従業員を騙し、銀行口座にアクセスさせました。ハッカーはリモートアクセスを利用して、受取人の銀行口座情報を改ざんしました。「攻撃者はリモートアクセスソフトウェアを用いて被害者の銀行口座情報を改ざんし、誤って過額を返金したように見せかけ、被害者にこの過額を『返金』するよう指示しました」とCISAは述べています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
CISAは、攻撃者が正規のリモートアクセスソフトウェアをバックドアとして利用し、政府ネットワークへの持続的なアクセスを維持する可能性もあると警告しています。「この特定の活動は金銭目的であり、個人を標的としているように見えますが、このアクセスは、他のサイバー犯罪者とAPT攻撃者の両方による、受信者の組織に対するさらなる悪意のある活動につながる可能性があります」と勧告は述べています。
イランの支援を受けたハッカーが、1年前のバグを修正できなかった米国連邦政府機関に侵入した。
トピック
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
