2025年4月以降、正規の遠隔監視・管理（RMM）ソフトウェアを悪用して、侵害されたホストへの永続的なリモートアクセスを確立することを目的とした、複数の攻撃経路を標的とするフィッシングキャンペーンが観測されています。 **VENOMOUS#HELPER**とコードネームが付けられたこの活動は、**Securonix**によると、主に米国にある80以上の組織に影響を与えています。これは、**Red Canary**および**Sophos**によって以前追跡されていたクラスターと重複しており、後者はこのキャンペーンにSTAC6405という名称を与えています。キャンペーンの背後に誰がいるかは不明ですが、サイバーセキュリティ企業は、これが金銭目的の初期アクセスブローカー（IAB）またはランサムウェアの前駆体オペレーションと一致すると述べています。 「このケースでは、カスタマイズされた**SimpleHelp**および**ScreenConnect** RMMが、無防備な被害者によって正規にインストールされているため、防御を回避するために使用されています」と、研究者のAkshay Gaikwad、Shikha Sangwan、Aaron BeardsleeはThe Hacker Newsと共有されたレポートで述べています。 正規RMMツールの使用が検出を回避できるという事実をさておき、**SimpleHelp**と**ScreenConnect**の両方の展開は、「冗長なデュアルチャネルアクセスアーキテクチャ」を作成しようとする試みを示しており、どちらかが検出およびブロックされた場合でも継続的な運用を可能にします。 ### フィッシングの誘いと初期侵害 すべては、米国**Social Security Administration (SSA)**を装ったフィッシングメールから始まります。受信者は、メッセージに埋め込まれたリンクをクリックしてメールアドレスを確認し、SSAの声明とされるものをダウンロードするように指示されます。このリンクは、正規だが侵害されたメキシコのビジネスウェブサイト（"gruta.com[.]mx"）を指しており、メールスパムフィルターを回避するための意図的な戦略を示しています。  その後、「SSA声明」は、攻撃者が制御する2番目のドメイン（"server.cubatiendaalimentos.com[.]mx"）からダウンロードされます。これは、**SimpleHelp** RMMツールを配信する実行ファイルです。攻撃者は、正規のホスティングサーバー上の単一のcPanelユーザーアカウントにアクセスして、バイナリをステージングしたと考えられています。 ### RMMの展開と権限昇格 被害者がドキュメントだと思ってJWrapperでパッケージ化されたWindows実行ファイルを開くとすぐに、マルウェアはセーフモードの永続性を持つWindowsサービスとして自身をインストールし、「自己修復ウォッチャ」によって実行されていることを確認します。これは、停止された場合に自動的に再起動し、67秒ごとにroot\SecurityCenter2 WMI名前空間を使用して登録されているセキュリティ製品を定期的に列挙し、23秒ごとにユーザーのプレゼンスをポーリングします。  完全にインタラクティブなデスクトップアクセスを容易にするために、**SimpleHelp**リモートアクセスクライアントはAdjustTokenPrivilegesを介してSeDebugPrivilegeを取得し、ソフトウェアに関連付けられた正規の実行可能ファイルである"elev_win.exe"を使用してSYSTEMレベルの権限を取得します。これにより、オペレーターは画面を読み取り、キーストロークを注入し、ユーザーコンテキストリソースにアクセスできるようになります。 この権限昇格されたリモートアクセスは、**SimpleHelp**チャネルがダウンした場合のフォールバック通信メカニズムとして**ConnectWise ScreenConnect**をダウンロードしてインストールするために悪用されます。 「展開された**SimpleHelp**バージョン（5.0.1）は、包括的なリモート管理機能セットを提供します」と研究者は述べています。「被害組織は、攻撃者がいつでも戻ってきて、ユーザーのデスクトップセッションでコマンドをサイレントに実行し、ファイルを双方向に転送し、隣接するシステムにピボットできる状態になります。一方、標準的なアンチウイルスおよびシグネチャベースの制御は、評判の良い英国のベンダーからの正規に署名されたソフトウェアしか認識しません。」