フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
フィッシングキャンペーンは、JWrapperでパックされた実行ファイルを配布するために、侵害されたメキシコのウェブサイトを利用しています。このファイルは、SimpleHelpとScreenConnectという正規のリモート管理ツールをインストールします。どちらのバイナリも署名されており、通常は信頼されていますが、攻撃者はこれを悪用し、Windowsサービスとセーフモードのレジストリの変更を通じて、持続的で静かなリモートアクセスを得ています。2025年4月以降、この活動はアメリカ、 西ヨーロッパ、ラテンアメリカの80以上の組織に影響を与えています。帰属は不明ですが、このキャンペーンは金銭動機に見えます。
調査
Securonixは、配信されたペイロードの動的解析を行い、SimpleHelp 5.0.1とConnectWise ScreenConnectを利用したデュアルチャネルのリモートアクセス設定を発見しました。マルウェアはWindowsサービスとしてインストールされ、セーフモードでも再起動時に生き残るようにSafeBootのレジストリエントリを作成します。また、インストールされたセキュリティ製品を特定し、ユーザーがマシンにいるかどうかを判断するために、繰り返しポーリングループを使用します。調査員は、名前を変更した wmic.exe.bak バイナリが、名前ベースの検出を回避するための実行チェーンの一部として使用されていることも発見しました。
緩和策
セキュリティチームは、 Remote Access Service Windowsサービス、関連するSafeBootのレジストリエントリ、および wmic.exe.bak が System32wbem ディレクトリに現れることを監視する必要があります。ネットワーク防御は、 84.200.205.233:5555 へのUDP送信トラフィックと、 sslzeromail.run.place:8041へのTCP送信トラフィックをブロックする必要があります。防御者はまた、悪意のあるサービスと関連ファイルを取り除き、名前が変更されたユーティリティやその他の侵入に関連するアーティファクトを探す必要があります。
対応
この活動が検出された場合、影響を受けたシステムを直ちに隔離し、悪意のあるサービスを停止および削除し、SafeBootのレジストリエントリを削除し、ホストからJWrapperのインストールディレクトリを削除してください。その後、捜査官はフォレンジック分析を行い、横方向の動きが発生したかどうかを確認し、検出ロジックを更新してキャンペーンで見られた特定のプロセスチェーンやコマンドパターンを捉えるようにしてください。関連する利害関係者に通知し、追加の被害者を特定するためにより広範な脅威ハンティングを検討するべきです。
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[“<b>アクション</b> – <b>T1656 なりすまし</b><br/>被害者をおびき寄せるためのUS SSAのメールスプーフィング”] class action_impersonation action action_phishing[“<b>アクション</b> – <b>T1566.001 フィッシング</b><br/>スピアフィッシングの添付ファイルと、侵害されたメキシコドメインへのリンク”] class action_phishing action action_infra[“<b>アクション</b> – <b>T1584.001 インフラ侵害</b><br/>ランディングページとペイロードをホストするための正規の.com.mxサイトの侵害”] class action_infra action action_execution[“<b>アクション</b> – 実行<br/>被害者がJWrapperでパックされたstatement5648.exeを実行し、設定を抽出し、プライベートJREをドロップしてJavaペイロードを起動”] class action_execution action action_uac[“<b>アクション</b> – <b>T1548.002 UACバイパス</b><br/>信頼されているSimpleHelpの発行者を示すUACプロンプトがインストールを許可”] class action_uac action action_service[“<b>アクション</b> – <b>T1543.003 システムプロセスの作成または変更</b><br/>Windowsサービス “Remote Access Service” を登録”] class action_service action action_safemode[“<b>アクション</b> – <b>T1562.009 セーフモード起動</b><br/>サービスの持続性を確保するためにSafeBootネットワークの下にレジストリキーを追加”] class action_safemode action malware_simplehelp[“<b>マルウェア</b> – SimpleHelp 5.0.1 (クラックされた)<br/>SimpleHelpによって署名されたリモート管理ツール”] class malware_simplehelp malware malware_screenconnect[“<b>マルウェア</b> – ConnectWise ScreenConnect (クラックされた)<br/>ConnectWiseにより署名されたリモート管理ツール”] class malware_screenconnect malware c2_simplehelp[“<b>C2</b> – UDP 84.200.205.233:5555<br/>SimpleHelp用のビーコニングに使用”] class c2_simplehelp c2 c2_screenconnect[“<b>C2</b> – TCP sslzeromail.run.place:8041<br/>ScreenConnectリレーに使用”] class c2_screenconnect c2 tool_sessionwin[“<b>ツール</b> – session_win.exe<br/>winlogon.exeトークンを盗んでユーザーセッションでプロセスを生成”] class tool_sessionwin tool tool_elevwin[“<b>ツール</b> – elev_win.exe<br/>盗まれたトークンを使用してCreateProcessAsUserWでプロセスを作成”] class tool_elevwin tool process_netsh[“<b>プロセス</b> – netsh wlan show interfaces<br/>ネットワーク構成を発見するために約15秒ごとに実行”] class process_netsh process process_wmic[“<b>プロセス</b> – wmic.exe.bak query SecurityCenter2<br/>約67秒ごとに実行されAV/ファイアウォール製品を発見”] class process_wmic process action_masquerade[“<b>アクション</b> – <b>T1036.003 偽装</b><br/>ユーティリティを隠すためにwmic.exeをwmic.exe.bakにリネーム”] class action_masquerade action action_dynamic[“<b>アクション</b> – <b>T1568 ダイナミック解決</b><br/>インターフェース情報を収集してC2エンドポイントを適応”] class action_dynamic action %% Flow Connections action_impersonation –>|leads_to| action_phishing action_phishing –>|uses| action_infra action_infra –>|hosts| action_execution action_execution –>|triggers| action_uac action_uac –>|enables| action_service action_service –>|adds| action_safemode action_safemode –>|supports| malware_simplehelp malware_simplehelp –>|communicates with| c2_simplehelp malware_screenconnect –>|communicates with| c2_screenconnect malware_simplehelp –>|installs| tool_sessionwin malware_screenconnect –>|installs| tool_elevwin tool_sessionwin –>|performs| action_masquerade tool_elevwin –>|executes| process_netsh process_netsh –>|feeds| action_dynamic process_wmic –>|feeds| action_dynamic action_dynamic –>|informs| c2_screenconnect action_dynamic –>|informs| c2_simplehelp tool_sessionwin –>|performs| action_masquerade process_wmic –>|performs| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process
攻撃フロー
検出
JWrapperリモートアクセスディレクトリから実行されたSimpleHelpエージェント(プロセス作成経由)
表示
アンチウイルスまたはファイアウォールソフトウェアの列挙の可能性(プロセス作成経由)
表示
代替リモートアクセス/管理ソフトウェア(プロセス作成経由)
表示
Simple Help RMM使用試行の可能性(ファイルイベント経由)
表示
検出すべきIOC (HashSha512):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン
表示
検出すべきIOC (HashSha256):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン
表示
検出すべきIOC (HashMd5):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン
表示
検出すべきIOC(送信元IP):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン
表示
検出すべきIOC(宛先IP):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン
表示
wmic.exeとWiFiインターフェースコマンドの名称変更による潜在的なRAT活動の監視 [Windows Sysmon]
表示
SimpleHelpとScreenConnectを使用したデュアルRMMフィッシングキャンペーンの検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリおよびベースラインのプリフライトチェックが合格している必要があります。
根拠:このセクションでは、検出ルールをトリガーするように設計された攻撃者技術(TTP)の正確な実行を詳細に説明します。コマンドと記述は、特定のTTPに直接反映されており、検出ロジックによって期待されるテレメトリを正確に生成することを目指しています。
-
攻撃のストーリーとコマンド:
攻撃者はフィッシングの添付ファイルを受け取ります(T1566.001)。それは
statement5648.exeという名前の悪意のあるペイロードを%TEMP%ディレクトリにドロップします。検出を回避するために、ファイルには有効な証明書が署名されており(難読化されたコード – T1027)、Windowsサービス(T1543.003)として実行されて持続性を保ちます。この実行可能ファイルの名前がルールの接尾辞の1つと一致するため、Sysmonはイメージがstatement5648.exeで終わるEventID 1を記録し、検出ルールを発火させる必要があります。攻撃者はまた、アンチウイルスを無効化(T1562.009)し、昇格権限を得るためにUACバイパス(T1548.002)を試みます。 -
回帰テストスクリプト:
#------------------------------------------------------------ # デュアルRMMフィッシングキャンペーンシミュレーション - Sigmaルールをトリガー #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. ダミーの実行可能ファイル(notepad.exeのコピー)をドロップし、名前を変更 Write-Host "[*] $payloadPathに偽装されたペイロードをドロップしています" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. ペイロードを実行するWindowsサービスを作成(持続性) Write-Host "[*] サービス $serviceName をインストールしています" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. サービスを開始 – これによりSysmon ProcessCreateイベントが生成される Write-Host "[*] サービス $serviceName を開始しています" sc.exe start $serviceName > $null # 4. 任意:UACバイパス / トークン偽装のシミュレーション(実際には何もしないプラシーボ) # 実際の赤チーム実行では、Invoke-BypassUACや類似のものが必要です。 Write-Host "[*] シミュレーション完了 – ディテクションのためにSIEMを確認してください。" #------------------------------------------------------------ -
クリーンアップコマンド:
#------------------------------------------------------------ # デュアルRMMシミュレーションのクリーンアップ #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # サービスを停止して削除 sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # 偽の実行可能ファイルを削除 Remove-Item -Path $payloadPath -Force Write-Host "[*] クリーンアップ完了。" #------------------------------------------------------------