AhnLab Security Intelligence Center (ASEC) は、最近 Syncro、SuperOps、NinjaOne、ScreenConnect などの RMM ツールを悪用した攻撃事例を確認した。攻撃者は PDF ファイルを配布し、これを通じてユーザーが Google ドライブなどを装った配布ページから RMM ツールをダウンロード・実行するよう誘導していた。マルウェアの署名に使用された証明書を確認すると、攻撃者は少なくとも2025年10月以降、類似した攻撃を継続的に行ってきたものとみられる。
1. PDF マルウェア
最初の配布方式は不明であるが、攻撃に使用された PDF 文書は「Invoice」、「Product Order」、「Payment」などのキーワードを含むファイル名になっており、フィッシングメールの添付ファイルとして配布されたと推定される。
| ファイル名 |
|---|
| Defective_Product_Oder.pdf |
| Defective_Product_OrderID2342-22235-22375.pdf |
| Defective Product Oder# 141-8912-3411.pdf |
| Defective Product Oder #922-1206-9847.pdf |
| Help_Product.pdf |
| Invoice_Details.PDF |
| Product.pdf |
| product_view.pdf |
| video_payment_error.pdf |
[表 1] 配布された PDF 文書のファイル名
PDF 文書を開くと、高解像度であるためプレビューが表示されず、代わりに Google ドライブのリンクをクリックするよう誘導する。
あるいは、PDF の読み込みに失敗したというメッセージを表示し「adobe-download-pdf[.]com」にリダイレクトすることから、ユーザーに正規の PDF をダウンロードしていると誤認させるため Adobe を装っているものとみられる。
[図 1] 攻撃に使用された PDF マルウェア – 1
[図 2] 攻撃に使用された PDF マルウェア – 2
現在アクセス可能なリンクは Google ドライブを装ったページであり、「Video_recorded_on_iPhone17.mp4」という名称が表示されるため、ユーザーは動画ファイルをダウンロードしていると誤認する恐れがある。実際にダウンロードされるファイル名も「Video_recorded_on_iPhone17.mp4 Drive.google.com」の形式で、MP4 動画ファイルを偽装している。
[図 3] Google ドライブを装ったページの画面
2. RMM
2.1. Syncro RMM
Syncro RMM は、Managed Service Provider (MSP) および IT チーム向けのリモートモニタリング・管理ツールである。このような RMM (Remote Monitoring and Management) ツールは、バックドアや RAT のようなマルウェアではないものの、インストールされたシステムをリモート制御でき、正規用途で組織内に導入されることもあることから、多くの攻撃者によって悪用されている。これは、セキュリティ製品による検知を回避するためであり、ファイアウォールやアンチウイルス製品ではこうしたツールを単純に検知・遮断することに限界があるという特性を突いた意図的な手法である。
[図 4] Syncro 社の公式サイト
RMM ソリューションやリモート制御ツールを悪用した事例として、2025年11月に公開された LogMeIn と PDQ Connect を悪用したマルウェア配布事例がある。[1] Syncro も過去からさまざまな攻撃者に悪用されており、代表的な例としてランサムウェア攻撃者の Chaos [2]、Royal [3] のほかに、中国系 APT 脅威グループ MuddyWater [4] による使用が報告されている。
ダウンロードされたマルウェアは Advanced Installer により作成されたインストールファイルであり、実行時に Syncro を感染システムへインストールする。現在は失効しているものの、有効な証明書で署名された状態で配布されていた点が特徴である。
[図 5] マルウェアの署名に使用された証明書
なお、詳細は公開されていないが、インストール過程において実行引数として「key」、「customerid」などの値が使用された。これらは他の RMM ツールと同様、攻撃者を特定できる情報であると推定される。実際に、同一の Key および Customer ID を持つ Syncro インストールファイルが2025年12月下旬に集中して配布されていることから、同一攻撃者である可能性が高い。
| 項目 | 値 |
|---|---|
| Key | “yK0UAOaHHwdbYDOp_sr51w” |
| Customer ID | “1709830” |
[表 2] Syncro RMM の設定情報
[図 6] Syncro RMM インストール時のプロセスツリー
2.2. ConnectWise ScreenConnect
同一の証明書で署名されたマルウェアを確認すると、2025年10月以降、多様な RMM ツールが悪用されていることが分かる。ScreenConnect は、リモートアクセスと画面制御機能を提供する RMM/リモートサポートソリューションであり、障害対応や保守作業などに利用される。ScreenConnect を悪用する攻撃者として、ランサムウェア攻撃者である ALPHV/BlackCat [5]、Hive [6] などが挙げられる。
[図 7] ScreenConnect インストール時のプロセスツリー
2.3. NinjaOne、SuperOps
同一の証明書で署名されたマルウェアの中には、NinjaOne および SuperOps も含まれている。NinjaOne は、企業の IT インフラをリモートでモニタリング・管理するためのクラウド型 RMM ソリューションであり、リモートアクセス、パッチおよびソフトウェア配布、パフォーマンスモニタリング、IT 資産管理などの機能を提供する。SuperOps も MSP (管理型サービスプロバイダ) 向けのクラウド型 RMM/PSA 統合ソリューションであり、リモートアクセス、資産・パッチ管理、モニタリングなどの機能を備えている。
[図 8] SuperOps 社の公式サイト
2.4. ダウンローダー
当該証明書で署名されたマルウェアの中には、RMM インストールファイルだけでなくダウンローダーも存在する。このダウンローダーは NSIS により開発されており、内部の NSI スクリプトには追加ペイロードをダウンロードするコマンドが含まれている。当該 URL は過去に NinjaOne RMM を配布していた履歴があり、悪性スクリプト内にも NinjaOne キーワードが含まれている。
[図 9] NinjaOne RMM をインストールする NSIS インストーラー
3. 結論
出所が不明な電子メールを閲覧する際には、ユーザーに特に慎重な対応が求められる。メールの送信元が信頼できるかを確認し、不審なリンクや添付ファイルを開かないことが重要である。また、OS やセキュリティ製品を常に最新の状態に更新し、既知の脅威からシステムを保護する必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized