Klicken, Installieren, Kompromittiert: Die Neue Welle der Zoom-basierten Angriffe
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure nutzen gefälschte Zoom-Einladungen zu Meetings, um einen bösartigen VBS-Downloader zu verbreiten, der ConnectWise ScreenConnect, eine legitime Fernzugriffsanwendung, installiert. Das VBS-Payload lädt den ScreenConnect MSI von einer durch Angreifer kontrollierten Infrastruktur herunter und startet es vom Verzeichnis des Opfers. TEMP Nach der Installation des Fernzugriffs-Tools erhalten die Angreifer dauerhaften Zugang zum System, was ihnen erlaubt, Anmeldeinformationen zu stehlen, Aufklärungsarbeiten durchzuführen und weitere Schadsoftware, wie beispielsweise Ransomware, bereitzustellen.
Untersuchung
Cofense identifizierte Phishing-E-Mails, die Opfer auf eine gefälschte Zoom-Seite leiteten und dazu aufforderten, ein falsches Update zu installieren. Dieses Update lieferte eine VBS-Datei namens _zoommeeting_Zoom_Installer_64_bit.exe.vbs, die eine fest programmierte URL zu einer bösartigen IP-Adresse enthielt, die den ScreenConnect.ClientSetup.msi Installer hostet. Das Skript führte das MSI dann über den Windows Script Host in einem versteckten Fenster aus, um keine Aufmerksamkeit zu erregen.
Eindämmung
Organisationen sollten E-Mail-Sicherheitskontrollen einsetzen, die Zoom-Phishing-Köder erkennen und blockieren können, die Multi-Faktor-Authentifizierung für Fernzugriffs-Tools verlangen und die Ausführung von VBS-Skripten aus benutzerbeschreibbaren Verzeichnissen einschränken. Verteidiger sollten zudem den Netzwerkverkehr auf Kommunikation mit bekannten bösartigen Domains und IPs überwachen und Anwendungs-Whitelisting anwenden, um die Nutzung legitimer Fernverwaltungssoftware zu kontrollieren.
Reaktion
Wird diese Aktivität erkannt, sollte der betroffene Endpunkt sofort isoliert, die bösartige VBS-Datei und alle installierten ScreenConnect-Komponenten entfernt und kompromittierte Anmeldeinformationen zurückgesetzt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob zusätzliche Schadsoftware installiert oder Daten exfiltriert wurden. Richtlinien für den Fernzugriff sollten zudem überprüft und verschärft, und die Erkennungsinhalte mit den beobachteten Indikatoren des Kompromisses aktualisiert werden.
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[„<b>Aktion</b> – <b>T1672 E-Mail-Spoofing</b><br/><b>Beschreibung</b>: Angreifer sendet eine E-Mail, die scheinbar von einer legitimen Zoom-Adresse stammt.“] class action_email_spoof action action_phishing[„<b>Aktion</b> – <b>T1566 Phishing</b><br/><b>Beschreibung</b>: E-Mail enthält einen schädlichen Link zu einer gefälschten Zoom-Meeting-Seite.“] class action_phishing action action_user_exec_link[„<b>Aktion</b> – <b>T1204.001 Benutzerausführung: Schädlicher Link</b><br/><b>Beschreibung</b>: Opfer klickt auf den Link und wird auf eine geklonte Zoom-Seite weitergeleitet.“] class action_user_exec_link action action_masquerade_file[„<b>Aktion</b> – <b>T1036.008 Täuschung: Dateityp-Verschleierung</b><br/><b>Beschreibung</b>: Seite fordert den Download eines VBS-Skripts, getarnt als Zoom-Installer.“] class action_masquerade_file action action_user_exec_vbs[„<b>Aktion</b> – <b>T1204 Benutzerausführung</b><br/><b>Beschreibung</b>: Opfer führt die VBS-Datei aus, die als Downloader fungiert.“] class action_user_exec_vbs action action_download_rat[„<b>Aktion</b> – <b>T1219 Remote Access Tools</b><br/><b>Beschreibung</b>: VBS installiert den ConnectWise ScreenConnect-Client.“] class action_download_rat action action_persistence[„<b>Aktion</b> – <b>T1133 Externe Remote-Dienste</b><br/><b>Beschreibung</b>: ScreenConnect registriert einen Windows-Dienst für dauerhaften Zugriff.“] class action_persistence action tool_vbs[„<b>Tool</b> – Name: Zoom_Installer_64_bit.exe.vbs<br/><b>Beschreibung</b>: VBS-Skript zum Herunterladen weiterer Payloads.“] class tool_vbs tool tool_screenconnect[„<b>Tool</b> – Name: ConnectWise ScreenConnect Client<br/><b>Beschreibung</b>: Remote-Software für Fernzugriff.“] class tool_screenconnect tool process_download[„<b>Prozess</b> – Name: Download von ScreenConnect MSI<br/><b>Beschreibung</b>: Abruf der Datei ScreenConnect.ClientSetup.msi.“] class process_download process action_email_spoof –>|führt_zu| action_phishing action_phishing –>|führt_zu| action_user_exec_link action_user_exec_link –>|führt_zu| action_masquerade_file action_masquerade_file –>|führt_zu| action_user_exec_vbs action_user_exec_vbs –>|nutzt| tool_vbs tool_vbs –>|lädt herunter| process_download process_download –>|installiert| tool_screenconnect tool_screenconnect –>|ermöglicht| action_download_rat action_download_rat –>|liefert| action_persistence
Angriffsfluss
Erkennungen
Mögliches bösartiges VBS-Datei mit doppelter Erweiterung (über cmdline)
Ansehen
LOLBAS WScript / CScript (über prozess_erstellung)
Ansehen
Alternative Fernzugriffs-/Verwaltungssoftware (über prozess_erstellung)
Ansehen
Alternative Fernzugriffs-/Verwaltungssoftware (über system)
Ansehen
Alternative Fernzugriffs-/Verwaltungssoftware (über prüfung)
Ansehen
Versuch einer Installation von RMM-Software mit MsiInstaller (über Anwendungsprotokolle)
Ansehen
Verdächtiger Dateidownload Direkt-IP (über proxy)
Ansehen
IOCs (HashSha256) zur Erkennung: Click, Install, Compromised: Die neue Welle von Zoom-Themen-Angriffen
Ansehen
IOCs (HashMd5) zur Erkennung: Click, Install, Compromised: Die neue Welle von Zoom-Themen-Angriffen
Ansehen
IOCs (SourceIP) zur Erkennung: Click, Install, Compromised: Die neue Welle von Zoom-Themen-Angriffen
Ansehen
IOCs (DestinationIP) zur Erkennung: Click, Install, Compromised: Die neue Welle von Zoom-Themen-Angriffen
Ansehen
Erkennung von ScreenConnect und Ausführung eines bösartigen Zoom-Installers [Windows Prozess-Erstellung]
Ansehen
Simulation Ausführen
Voraussetzung: Die Telemetrie- und Basislinienvorabprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
Angriffserzählung & Befehle
- Erste Lieferung: Das Opfer erhält eine Phishing-E-Mail mit dem Titel „Zoom-Meeting – Update installieren“. Der Anhang ist ein VBS-Skript namens
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - Ausführung: Der Benutzer doppelklickt auf die VBS-Datei, die cscript.exe aufruft, um das Skript auszuführen. Das Skript legt zwei Nutzlasten in
%TEMP%:ScreenConnect.ClientSetup.msiab – den bösartigen Remotezugriffstool-Installer.- Ein sekundärer PowerShell-Hintertür (nicht Teil dieser Regel).
- Installation: Das VBS-Skript startet msiexec.exe still im Hintergrund, um den
ScreenConnect.ClientSetup.msimit/quietzu installieren. Dadurch wird ein neues Prozess-Erstellungsereignis erzeugt, dessenImageendet mitScreenConnect.ClientSetup.msi, was die Regelbedingung erfüllt.
Regression Test-Skript
# --------------------------------------------------------------
# Simulationsskript – Löst "ScreenConnect.ClientSetup.msi" aus
# und "_zoommeeting_Zoom_installer_64_bit.exe.vbs" Erkennungen
# --------------------------------------------------------------
# 1. Bereiten Sie die Nutzlasten vor (in einem realen Test wären dies die bösartigen Dateien)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# Dummy-Dateien, um die bösartigen Namen zu emulieren (Hashes können später hinzugefügt werden)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# Erstellen Sie leere Platzhalterdateien (für einen Live-Test durch echte Nutzlasten ersetzen)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS-Dropper – schreibt das MSI auf die Festplatte und startet es
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. Führen Sie den VBS-Dropper aus (dies wird msiexec starten)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] Simulation ausgeführt – Erkennung sollte jetzt feuern." -ForegroundColor GreenBereinigung Befehle
# --------------------------------------------------------------
# Bereinigung – entfernt Artefakte, die durch die Simulation erstellt wurden
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# Stoppen Sie alle verbleibenden msiexec-Prozesse, die durch den Test gestartet wurden
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# Entfernen Sie temporäre Dateien und Verzeichnisse
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] Bereinigung abgeschlossen." -ForegroundColor Yellow