SOC Prime Bias: 中程度

05 1月 2026 17:56
newspaper icon ハントレス

ローグスクリーンコネクト:2025年に見た一般的な社会工学の戦術

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
ローグスクリーンコネクト:2025年に見た一般的な社会工学の戦術
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

脅威アクターは、偽の社会保障報告書、招待状、請求書ドキュメントなどのソーシャルエンジニアリング手法を利用して、悪意のあるScreenConnect(リモート監視および管理)クライアントを配布しています。ルアーはフィッシングメールや悪意のあるウェブページを通じて配布され、被害者は名前を変更されたScreenConnectの実行ファイルをダウンロードすることになります。インストールされると、悪意のあるRMMは攻撃者に対し、被害にあったホストへの持続的なリモートアクセスを提供します。

調査

Huntressは、2025年1月から9月の間に、名前を変更されたScreenConnectのバイナリが複数の業種にわたるエンドポイントで実行された数十件のインシデントを観察しました。SOCは関連するドメイン名、IPアドレス、ファイルハッシュを収集し、ダイナミックDNSサービスの繰り返し使用や特定のルアー名付けパターンを指摘しました。詳細なログ分析では、悪意のあるクライアントが攻撃者が制御するドメインに連絡を取っていることが示されました。

緩和策

組織は、偽の報告書、請求書、招待ファイルを見抜くためにセキュリティ意識向上トレーニングを強化する必要があります。リモートアクセスツールの継続的な監視、署名されていないRMMバイナリの実行制限、既知の悪意のあるドメインへのネットワーク接続の監査が推奨されます。RMMソフトウェアを常に最新の状態に保ち、許可されたインスタンスのみをホワイトリストに登録してください。

対応手順

名前が変更されたScreenConnect実行ファイルを検出した場合、エンドポイントを隔離し、バイナリおよび関連するネットワークトラフィックを収集し、ファイアウォールでC2(Command and Control)ドメインをブロックします。フォレンジック分析を行って持続性メカニズムや横移動を特定し、妥協されたアカウントを修復し、資格情報をリセットします。

graph TB %% クラス定義 classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% ノード定義 tech_initial_access_phishing[“<b>テクニック</b> – <b>T1566 フィッシング</b><br/><b>説明</b>: 攻撃者は社会保障関連の通知、請求書、招待状を装った巧妙なメールを送信し、悪意のあるリンクへ誘導する。”] class tech_initial_access_phishing technique tech_malicious_link[“<b>テクニック</b> – <b>T1204.001 悪意のあるリンク</b><br/><b>説明</b>: 被害者が悪意のあるリンクをクリックし、ダウンロードページへリダイレクトされる。”] class tech_malicious_link technique tech_malicious_file[“<b>テクニック</b> – <b>T1204.002 悪意のあるファイル</b><br/><b>説明</b>: 被害者が文書や招待状を装った実行ファイルをダウンロードし実行する。”] class tech_malicious_file technique op_user_execution((“ユーザー実行”)) class op_user_execution operator tech_masquerading[“<b>テクニック</b> – <b>T1036 偽装</b><br/><b>サブテクニック</b>: T1036.008 ファイルタイプ偽装, T1036.003 正規ユーティリティの名称変更, T1036.007 二重拡張子<br/><b>説明</b>: ペイロードを正規のものに見せかけ、検知を回避するためにリネームする。”] class tech_masquerading technique tech_rat_installation[“<b>テクニック</b> – <b>T1219 リモートアクセスツールのインストール</b><br/><b>説明</b>: リモート監視および管理機能を提供する ScreenConnect クライアントをインストールする。”] class tech_rat_installation technique tool_screenconnect[“<b>ツール</b> – <b>名称</b>: ScreenConnect(ConnectWise Control)<br/><b>説明</b>: RAT として使用されるリモートアクセスソフトウェア。”] class tool_screenconnect tool tech_dynamic_dns[“<b>テクニック</b> – <b>T1568.002 ドメイン生成アルゴリズム</b><br/><b>説明</b>: C2 通信のためにダイナミック DNS サービスおよび生成ドメインを使用する。”] class tech_dynamic_dns technique tech_app_layer_dns[“<b>テクニック</b> – <b>T1071.004 アプリケーション層プロトコル: DNS</b><br/><b>説明</b>: DNS クエリを介して C2 トラフィックを送信する。”] class tech_app_layer_dns technique tech_app_layer_web[“<b>テクニック</b> – <b>T1071.001 アプリケーション層プロトコル: Web</b><br/><b>説明</b>: HTTPS Web プロトコルを介して C2 トラフィックを送信する。”] class tech_app_layer_web technique tech_web_service_bidirectional[“<b>テクニック</b> – <b>T1102.002 Web サービス: 双方向通信</b><br/><b>説明</b>: Web サービスを使用して双方向の C2 通信を行う。”] class tech_web_service_bidirectional technique tech_external_remote_services[“<b>テクニック</b> – <b>T1133 外部リモートサービス</b><br/><b>説明</b>: 継続的なアクセスを可能にする外部リモートサービスを通じて永続性を維持する。”] class tech_external_remote_services technique tech_hide_artifacts[“<b>テクニック</b> – <b>T1564.012 アーティファクトの隠蔽: ファイル/パス除外</b><br/><b>説明</b>: セキュリティツールから悪意のあるファイルを隠すために除外設定を構成する。”] class tech_hide_artifacts technique tech_passive_dns[“<b>テクニック</b> – <b>T1596.001 公開技術データベースの検索: パッシブ DNS</b><br/><b>説明</b>: 悪意のあるドメインを発見または登録するためにパッシブ DNS データを使用する。”] class tech_passive_dns technique %% 接続 tech_initial_access_phishing –>|配信する| op_user_execution op_user_execution –>|使用する| tech_malicious_link op_user_execution –>|使用する| tech_malicious_file op_user_execution –>|つながる| tech_masquerading tech_masquerading –>|可能にする| tech_rat_installation tech_rat_installation –>|インストールする| tool_screenconnect tool_screenconnect –>|通信する| tech_dynamic_dns tool_screenconnect –>|使用する| tech_app_layer_dns tool_screenconnect –>|使用する| tech_app_layer_web tool_screenconnect –>|使用する| tech_web_service_bidirectional tech_dynamic_dns –>|サポートする| tech_external_remote_services tech_external_remote_services –>|有効化する| tech_passive_dns tech_dynamic_dns –>|サポートする| tech_hide_artifacts

攻撃フロー

シミュレーション実行

プリリクイジット:テレメトリとベースラインの事前フライトチェックが合格している必要があります。

根拠:このセクションは、検出規則をトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明しています。コマンドとストーリーは、特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃のストーリーとコマンド:
    攻撃者は、 Social_Security_Statement_redacted.exe という名前の添付ファイルを使ってフィッシングメールを作成します。このファイルには実際には正当なScreenConnectインストーラー(または任意のペイロード)が含まれています。被害者はこれを個人財務書類であると信じてファイルをダブルクリックします。OSは実行可能ファイルを起動し、その際に イメージ フィールドが悪意のあるファイル名で終了するプロセス作成イベントが生成されます。この正確なパターンはシグマルールに一致し、警報を上げる必要があります。

  • 回帰テストスクリプト:

    # --------------------------------------------------------------
# シミュレーションスクリプト – "Rogue ScreenConnect" ルールをトリガー
# --------------------------------------------------------------

# 1. 無害なペイロード(例:calc.exe)を用意して名前を変更
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. 回避を模倣するためにオプションで隠し属性を設定(T1564.004)
attrib +h $dst

# 3. 名前を変更したペイロードを実行(ユーザーのクリックをシミュレート)
Start-Process -FilePath $dst

# 4. ロギングを確実にするために少し待つ
Start-Sleep -Seconds 5

# 5. 確認の出力
Write-Host "$dst を実行しました – 検出テレメトリを生成するはずです。"

  • クリーンアップコマンド:

    # 悪意のある外観の実行ファイルを削除し属性をクリア
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "クリーンアップ完了:$file を削除しました。"
} else {
    Write-Host "ファイルが見つかりません;クリーンアップするものがありません。"
}

レポート終了

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加