B
今週中
SimpleHelpおよびScreenConnectなどの正当なリモート管理ツール(RMM)を悪用したフィッシングキャンペーン
📌 一言でいうと
SimpleHelpおよびScreenConnectなどの正当なリモート管理ツール(RMM)を悪用したフィッシングキャンペーンが確認されました。この攻撃は主に米国を含む80以上の組織を標的としており、正当なソフトウェアをインストールさせることで検知を回避し、持続的なリモートアクセスを確立します。攻撃者は金銭的動機を持つ初期アクセスブローカー(IAB)またはランサムウェアの前兆活動であると考えられています。
🏢影響範囲
米国を中心とした80以上の組織(業種不問)
✅該当時の対応
不審なメールに添付されたリンクやファイルの実行を禁止すること。また、組織内で許可されていないRMMツールのインストールを制限し、エンドポイントでの不審なプロセスの監視を強化することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なソフトウェアのインストールに関する注意について
お疲れさまです。情報システム担当です。
現在、正規のサポートツールを装ってパソコンを遠隔操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールにあるリンクや添付ファイルは絶対に開かないでください。
2. 会社が指示していないソフトウェア(特にリモート操作ツールなど)をインストールしないでください。
3. 万が一、不審な画面が表示されたり、ソフトをインストールしてしまった場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、正規のサポートツールを装ってパソコンを遠隔操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールにあるリンクや添付ファイルは絶対に開かないでください。
2. 会社が指示していないソフトウェア(特にリモート操作ツールなど)をインストールしないでください。
3. 万が一、不審な画面が表示されたり、ソフトをインストールしてしまった場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Unauthorized Software Installation
Dear employees,
We have observed a phishing campaign that tricks users into installing remote management tools to gain unauthorized access to systems.
Please follow these guidelines:
1. Do not click links or open attachments from unknown or suspicious senders.
2. Do not install any software, especially remote access tools, unless explicitly instructed by the IT department.
3. If you notice any suspicious activity or have accidentally installed unknown software, please report it to the IT team immediately.
Deadline: Immediate
Dear employees,
We have observed a phishing campaign that tricks users into installing remote management tools to gain unauthorized access to systems.
Please follow these guidelines:
1. Do not click links or open attachments from unknown or suspicious senders.
2. Do not install any software, especially remote access tools, unless explicitly instructed by the IT department.
3. If you notice any suspicious activity or have accidentally installed unknown software, please report it to the IT team immediately.
Deadline: Immediate
件名: 【共有】RMMツール(SimpleHelp/ScreenConnect)を悪用した攻撃への対応について
お疲れさまです。VENOMOUS#HELPER(STAC6405)による攻撃に関する情報共有です。
■ 概要
正当なRMMツール(SimpleHelp, ScreenConnect)を悪用して持続的なアクセスを確立するフィッシングキャンペーンが確認されています。正当な署名を持つツールを使用するため、従来の検知策を回避する傾向があります。
■ 影響範囲
- 全エンドポイント(特に未許可のRMMツールがインストール可能な環境)
■ 対応手順
1. 組織内で許可されていないRMMツール(SimpleHelp, ScreenConnect等)の実行・インストールをポリシーで制限する。
2. EDR等のログを確認し、不審なRMMツールのプロセス起動や外部C2通信がないか調査する。
3. ユーザーに対し、不審なメール経由でのソフトインストール禁止を周知する。
■ 参考情報
- Securonix, Red Canary, Sophos reports
対応優先度: 高
対応期限: 今週中
お疲れさまです。VENOMOUS#HELPER(STAC6405)による攻撃に関する情報共有です。
■ 概要
正当なRMMツール(SimpleHelp, ScreenConnect)を悪用して持続的なアクセスを確立するフィッシングキャンペーンが確認されています。正当な署名を持つツールを使用するため、従来の検知策を回避する傾向があります。
■ 影響範囲
- 全エンドポイント(特に未許可のRMMツールがインストール可能な環境)
■ 対応手順
1. 組織内で許可されていないRMMツール(SimpleHelp, ScreenConnect等)の実行・インストールをポリシーで制限する。
2. EDR等のログを確認し、不審なRMMツールのプロセス起動や外部C2通信がないか調査する。
3. ユーザーに対し、不審なメール経由でのソフトインストール禁止を周知する。
■ 参考情報
- Securonix, Red Canary, Sophos reports
対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] Abuse of RMM Tools (SimpleHelp/ScreenConnect) by VENOMOUS#HELPER
Dear Security Team,
This is a technical alert regarding the VENOMOUS#HELPER (STAC6405) campaign.
■ Overview
Attackers are utilizing legitimate Remote Monitoring and Management (RMM) tools, specifically SimpleHelp and ScreenConnect, to establish persistence and bypass security defenses. This activity is linked to Initial Access Brokers (IABs).
■ Scope
- All endpoints capable of running unauthorized RMM software.
■ Mitigation Steps
1. Implement application whitelisting or policies to block unauthorized RMM tools (SimpleHelp, ScreenConnect, etc.).
2. Review EDR/SIEM logs for unauthorized RMM process execution or unusual outbound connections.
3. Conduct user awareness training regarding phishing attempts leading to software installation.
■ Reference
- Reports from Securonix, Red Canary, and Sophos.
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical alert regarding the VENOMOUS#HELPER (STAC6405) campaign.
■ Overview
Attackers are utilizing legitimate Remote Monitoring and Management (RMM) tools, specifically SimpleHelp and ScreenConnect, to establish persistence and bypass security defenses. This activity is linked to Initial Access Brokers (IABs).
■ Scope
- All endpoints capable of running unauthorized RMM software.
■ Mitigation Steps
1. Implement application whitelisting or policies to block unauthorized RMM tools (SimpleHelp, ScreenConnect, etc.).
2. Review EDR/SIEM logs for unauthorized RMM process execution or unusual outbound connections.
3. Conduct user awareness training regarding phishing attempts leading to software installation.
■ Reference
- Reports from Securonix, Red Canary, and Sophos.
Priority: High
Deadline: End of this week