SOC Prime Bias: Hoch

19 May 2026 13:30 UTC

Klicken, Installieren, Kompromittiert: Die Neue Welle der Zoom-basierten Angriffe

Author Photo
SOC Prime Team linkedin icon Folgen
Klicken, Installieren, Kompromittiert: Die Neue Welle der Zoom-basierten Angriffe
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure nutzen gefälschte Zoom-Einladungen zu Meetings, um einen bösartigen VBS-Downloader zu verbreiten, der ConnectWise ScreenConnect, eine legitime Fernzugriffsanwendung, installiert. Das VBS-Payload lädt den ScreenConnect MSI von einer durch Angreifer kontrollierten Infrastruktur herunter und startet es vom Verzeichnis des Opfers. TEMP Nach der Installation des Fernzugriffs-Tools erhalten die Angreifer dauerhaften Zugang zum System, was ihnen erlaubt, Anmeldeinformationen zu stehlen, Aufklärungsarbeiten durchzuführen und weitere Schadsoftware, wie beispielsweise Ransomware, bereitzustellen.

Untersuchung

Cofense identifizierte Phishing-E-Mails, die Opfer auf eine gefälschte Zoom-Seite leiteten und dazu aufforderten, ein falsches Update zu installieren. Dieses Update lieferte eine VBS-Datei namens _zoommeeting_Zoom_Installer_64_bit.exe.vbs, die eine fest programmierte URL zu einer bösartigen IP-Adresse enthielt, die den ScreenConnect.ClientSetup.msi Installer hostet. Das Skript führte das MSI dann über den Windows Script Host in einem versteckten Fenster aus, um keine Aufmerksamkeit zu erregen.

Eindämmung

Organisationen sollten E-Mail-Sicherheitskontrollen einsetzen, die Zoom-Phishing-Köder erkennen und blockieren können, die Multi-Faktor-Authentifizierung für Fernzugriffs-Tools verlangen und die Ausführung von VBS-Skripten aus benutzerbeschreibbaren Verzeichnissen einschränken. Verteidiger sollten zudem den Netzwerkverkehr auf Kommunikation mit bekannten bösartigen Domains und IPs überwachen und Anwendungs-Whitelisting anwenden, um die Nutzung legitimer Fernverwaltungssoftware zu kontrollieren.

Reaktion

Wird diese Aktivität erkannt, sollte der betroffene Endpunkt sofort isoliert, die bösartige VBS-Datei und alle installierten ScreenConnect-Komponenten entfernt und kompromittierte Anmeldeinformationen zurückgesetzt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob zusätzliche Schadsoftware installiert oder Daten exfiltriert wurden. Richtlinien für den Fernzugriff sollten zudem überprüft und verschärft, und die Erkennungsinhalte mit den beobachteten Indikatoren des Kompromisses aktualisiert werden.

Angriffsfluss

Simulation Ausführen

Voraussetzung: Die Telemetrie- und Basislinienvorabprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

Angriffserzählung & Befehle

  1. Erste Lieferung: Das Opfer erhält eine Phishing-E-Mail mit dem Titel „Zoom-Meeting – Update installieren“. Der Anhang ist ein VBS-Skript namens _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Ausführung: Der Benutzer doppelklickt auf die VBS-Datei, die cscript.exe aufruft, um das Skript auszuführen. Das Skript legt zwei Nutzlasten in %TEMP%:
    • ScreenConnect.ClientSetup.msi ab – den bösartigen Remotezugriffstool-Installer.
    • Ein sekundärer PowerShell-Hintertür (nicht Teil dieser Regel).
  3. Installation: Das VBS-Skript startet msiexec.exe still im Hintergrund, um den ScreenConnect.ClientSetup.msi mit /quietzu installieren. Dadurch wird ein neues Prozess-Erstellungsereignis erzeugt, dessen Image endet mit ScreenConnect.ClientSetup.msi, was die Regelbedingung erfüllt.

Regression Test-Skript

# --------------------------------------------------------------
#  Simulationsskript – Löst "ScreenConnect.ClientSetup.msi" aus
#  und "_zoommeeting_Zoom_installer_64_bit.exe.vbs" Erkennungen
# --------------------------------------------------------------

# 1. Bereiten Sie die Nutzlasten vor (in einem realen Test wären dies die bösartigen Dateien)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Dummy-Dateien, um die bösartigen Namen zu emulieren (Hashes können später hinzugefügt werden)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Erstellen Sie leere Platzhalterdateien (für einen Live-Test durch echte Nutzlasten ersetzen)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS-Dropper – schreibt das MSI auf die Festplatte und startet es
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Führen Sie den VBS-Dropper aus (dies wird msiexec starten)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulation ausgeführt – Erkennung sollte jetzt feuern." -ForegroundColor Green

Bereinigung Befehle

# --------------------------------------------------------------
#  Bereinigung – entfernt Artefakte, die durch die Simulation erstellt wurden
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Stoppen Sie alle verbleibenden msiexec-Prozesse, die durch den Test gestartet wurden
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie temporäre Dateien und Verzeichnisse
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Bereinigung abgeschlossen." -ForegroundColor Yellow