RMM悪用の手口は変化しているのでしょうか？

A. より標的の環境に合わせた手口が確認されています。

今回の事例では、フィッシングメールではなく、乗っ取られたWhatsAppアカウントからファイルが送信されていました。送信元が知人や取引先に見えることで、受信者が警戒を緩めやすい状況が作られていました。

また、PC版WhatsAppの動作を利用し、添付ファイルを開かせる仕組みが使われていました。送信されるファイル名は、請求書や財務レポートなど業務に関係する内容に見えるよう工夫されていました。

さらに、標的の地域に合わせて複数の言語が使い分けられていました。スクリプト内にはWindowsの正規機能を装う記述や中国語のコメントが含まれていました。

加えて、管理者権限に関する確認を繰り返し表示させる仕組みも確認されています。

こうした点から、複数の工夫を組み合わせた脅威活動と言えます。

ちょっと捻りのきいたRMM悪用脅威キャンペーン https://constella-sec.jp/blog/hobokomo-securitynews/tips-1229/