サイバー犯罪者がセキュリティ管理を回避するために信頼できる職場プラットフォームを悪用するケースが増えており、新たに発見されたキャンペーンは、サイバー犯罪者がいかに迅速に企業環境にアクセスできるかを示しています。
eSentire の脅威対応ユニットの研究者(TRU) 最近調査された法曹界組織を標的とした侵入。攻撃者は Microsoft Teams の音声フィッシングを使用して、Windows クイック アシストを介したリモート アクセスを従業員に許可させました。
20 分も経たないうちに、彼らは、侵害されたシステムへの長期アクセスを維持するように設計された Java ベースのリモート アクセス トロイの木馬である Nimbus RAT を配備しました。
攻撃者は信頼できるビジネス プラットフォームを侵入ポイントに変える
この作戦は、慎重に構造化された攻撃チェーンに従って行われました。攻撃者はまず、短期間に 280 通を超える正規の購読メールを被害者の受信箱に大量に送り込みました。メッセージの急増により混乱と緊急性が生じ、被害者は社内の IT 担当者を装った後続の連絡先を信頼する可能性が高くなりました。
その後、偽のサポート エージェントは Microsoft Teams を通じてその従業員に連絡し、一連の手順を案内しました。被害者は Quick Assist を起動し、Pastebin にホストされている指示に従い、最終的に攻撃者がデバイスを制御できるようにしました。
最後のマルウェア パッケージは、SharePoint 上でホストされている侵害された Microsoft 365 テナントからのものでした。攻撃者は、正規の Microsoft サービスを使用することで、ダウンロードが信頼できるものであるかのように見せ、疑惑が生じる可能性を減らしました。
研究者は、ダウンロードしたアーカイブに、OpenJDK ランタイムにバンドルされた悪意のある Java ファイルが含まれていることを発見しました。この設定により、Java がまだインストールされていない場合でも、事実上すべての Windows マシン上でマルウェアを実行できるようになりました。
Nimbus RAT は Google サービスの背後に隠れます
Nimbus RAT は、従来のコマンド アンド コントロール インフラストラクチャを回避するという点で際立っています。代わりに、Google ドライブと Google スプレッドシートを介して通信し、そのネットワーク アクティビティを通常の企業トラフィックに溶け込ませます。
このマルウェアは、攻撃者が管理する Google ドライブ アカウントに保存されているファイルから命令を取得し、同じサービスを通じて盗んだ情報をアップロードします。多くの組織は Google のクラウド エコシステムに大きく依存しているため、業務を中断することなくこのトラフィックをブロックすることは困難な場合があります。
研究者らは、Nimbus RAT が、コマンドの実行、ファイル管理、レジストリ アクセス、スクリーンショットの収集、追加のペイロードのメモリへの直接展開など、幅広い悪意のある機能をサポートしていると判断しました。
このマルウェアには、2 つの個別の認証情報盗難メカニズムも含まれています。 1 つの方法では、偽の Windows セキュリティ プロンプトを表示して、ユーザーをだましてパスワードを入力させます。 2 つ目は、Windows CredUIPromptForCredentialsW API を利用して、オペレーティング システムから資格情報を直接取得します。
eSentire の研究者によると、どちらの技術も複数のパスワード送信を収集することを目的としており、攻撃者が有効な資格情報を取得する可能性が高くなります。
研究者らはチームベースの攻撃が急増していると報告している
eSentire が収集したデータは、このキャンペーンが個別のインシデントではなく、より広範な傾向の一部であることを示唆しています。
同社は、12 か月間で 172 の組織にわたって 1,540 件の不審な Microsoft Teams のやり取りを観察したと報告しました。研究者らは、2025 年 12 月から 2026 年 3 月の間に活動が大幅に増加したことに注目しました。
フィッシング キャンペーンはプラットフォーム間で急増しています。もう一つのスキームは、Facebook ユーザーをターゲットにするパスワードを盗むことを目的としており、ソーシャル エンジニアリング攻撃の多様なターゲットが浮き彫りになっています。
レポートによると、攻撃のほぼ 65% は、onmicrosoft.com ドメインを使用する使い捨ての Microsoft 365 テナントから発生しました。攻撃者は、IT サポート スタッフ、ヘルプデスク チーム、または社内の技術担当者になりすますことがよくあります。
インフラストラクチャ分析により、急速なドメイン登録、ホスティング プロバイダーの IP 範囲の繰り返し使用、キャンペーンの成長をサポートするための大規模なテナントの作成など、繰り返し発生するパターンが明らかになりました。いくつかのケースでは、攻撃者は侵害された正規のテナントを悪用しており、フィッシングの試みの信頼性がさらに高まっているように見えます。
研究者らは、攻撃者は現在、攻撃ライフサイクル全体を通じて信頼できるSoftware-as-a-Serviceプラットフォームを利用していると警告した。 Microsoft Teams は最初の連絡を容易にし、SharePoint はマルウェアを配信し、Pastebin は指示をホストし、Quick Assist はリモート アクセスを提供し、Google Drive はコマンド アンド コントロール操作を強化します。
組織はこれらの広く使用されているサービスを単純にブロックすることはできないため、防御者は動作の監視と層間の可視化に重点を置く必要があります。研究者らは、受信電子メールトラフィックの異常な急増、不審なクイックアシストアクティビティ、非標準ディレクトリからの予期しない Java 実行、および侵害の他の兆候と一致する Google API への送信接続に注意することを推奨しています。