Cliquez, Installez, Compromis : La Nouvelle Vague d’Attaques Thématisées sur Zoom
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de menace exploitent de fausses invitations à des réunions Zoom pour livrer un téléchargeur VBS malveillant qui installe ConnectWise ScreenConnect, une application d’accès à distance légitime. La charge utile VBS télécharge le MSI de ScreenConnect à partir d’une infrastructure contrôlée par les attaquants et le lance depuis le répertoire de la TEMP victime. Après l’installation de l’outil d’accès à distance, les attaquants obtiennent un accès persistant au système, permettant le vol de données d’identification, la reconnaissance et la livraison de logiciels malveillants supplémentaires, tels que les rançongiciels.
Enquête
Cofense a identifié des e-mails de phishing dirigeant les victimes vers une fausse page Zoom les incitant à installer une fausse mise à jour. Cette mise à jour livrait un fichier VBS nommé _zoommeeting_Zoom_Installer_64_bit.exe.vbs, qui contenait une URL codée en dur pointant vers une adresse IP malveillante hébergeant l’installateur ScreenConnect.ClientSetup.msi . Le script exécutait ensuite le MSI via Windows Script Host dans une fenêtre cachée pour éviter d’attirer l’attention.
Atténuation
Les organisations devraient déployer des contrôles de sécurité des e-mails capables de détecter et de bloquer les tentatives de phishing à thème Zoom, exiger l’authentification multifactorielle pour les outils d’accès à distance et restreindre l’exécution de scripts VBS à partir de répertoires modifiables par les utilisateurs. Les défenseurs doivent également surveiller le trafic réseau pour détecter la communication avec des domaines et IP malveillants connus et appliquer la liste blanche des applications pour contrôler les logiciels légitimes d’administration à distance.
Réponse
Si cette activité est détectée, isolez immédiatement le poste de travail affecté, supprimez le fichier VBS malveillant et tous les composants ScreenConnect installés, et réinitialisez les identifiants compromis. Les enquêteurs doivent ensuite effectuer une analyse forensique pour déterminer si des logiciels malveillants supplémentaires ont été déployés ou si des données ont été exfiltrées. Les politiques d’accès à distance doivent également être révisées et renforcées, et le contenu de détection doit être mis à jour avec les indicateurs de compromission observés.
Flux d’Attaque
Détections
Fichier VBS Possiblement Malveillant avec Double Extension (via cmdline)
Voir
LOLBAS WScript / CScript (via process_creation)
Voir
Logiciel d’Accès à Distance / Gestion Alternative (via process_creation)
Voir
Logiciel d’Accès à Distance / Gestion Alternative (via système)
Voir
Logiciel d’Accès à Distance / Gestion Alternative (via audit)
Voir
Tentative Possible d’Installation de Logiciel RMM à l’Aide de MsiInstaller (via journaux d’application)
Voir
Téléchargement de Fichier Suspect Direct IP (via proxy)
Voir
IOCs (HashSha256) à détecter : Cliquer, Installer, Compromis : La Nouvelle Vague d’Attaques Thématiques Zoom
Voir
IOCs (HashMd5) à détecter : Cliquer, Installer, Compromis : La Nouvelle Vague d’Attaques Thématiques Zoom
Voir
IOCs (SourceIP) à détecter : Cliquer, Installer, Compromis : La Nouvelle Vague d’Attaques Thématiques Zoom
Voir
IOCs (DestinationIP) à détecter : Cliquer, Installer, Compromis : La Nouvelle Vague d’Attaques Thématiques Zoom
Voir
Détection de ScreenConnect et Exécution de l’Installateur Zoom Malveillant [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : La vérification prévol Télémetrie & Baseline doit avoir passé.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémetrie exacte attendue par la logique de détection.
Récit et Commandes d’Attaque
- Livraison Initiale : La victime reçoit un e-mail de phishing intitulé « Zoom Meeting – Install Update ». La pièce jointe est un script VBS nommé
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - Exécution : L’utilisateur double-clique sur le fichier VBS, qui invoque cscript.exe pour exécuter le script. Le script dépose deux charges utiles dans
%TEMP%:ScreenConnect.ClientSetup.msi– le programme d’installation de l’outil d’accès à distance malveillant.- Une porte dérobée PowerShell secondaire (ne faisant pas partie de cette règle).
- Installation : Le script VBS lance discrètement msiexec.exe pour installer le
ScreenConnect.ClientSetup.msiavec/quiet. Cela crée un nouvel événement de création de processus dont l’Imagefinit parScreenConnect.ClientSetup.msi, satisfaisant la condition de la règle.
Script de Test de Régression
# --------------------------------------------------------------
# Script de Simulation – Déclenche "ScreenConnect.ClientSetup.msi"
# et "_zoommeeting_Zoom_installer_64_bit.exe.vbs" détections
# --------------------------------------------------------------
# 1. Préparer les charges utiles (dans un test réel, ce seraient les fichiers malveillants)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# Fichiers factices pour émuler les noms malveillants (les hachages peuvent être ajoutés plus tard)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# Créer des fichiers vides de remplacement (à remplacer par de vraies charges utiles pour le test en direct)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – écrit le MSI sur disque et le lance
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. Exécuter le dropper VBS (cela va à son tour lancer msiexec)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] Simulation exécutée – la détection devrait se déclencher maintenant." -ForegroundColor Green
Commandes de Nettoyage
# --------------------------------------------------------------
# Nettoyage – supprime les artefacts créés par la simulation
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# Arrêter les processus msiexec persistants démarrés par le test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# Supprimer les fichiers temporaires et le répertoire
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] Nettoyage terminé." -ForegroundColor Yellow