クリック、インストール、侵害された:新たなZoomをテーマにした攻撃の波
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターは、偽のZoom会議招待を利用して、正当なリモートアクセスアプリケーションであるConnectWise ScreenConnectをインストールする悪意のあるVBSダウンローダーを配信しています。VBSペイロードは攻撃者が制御するインフラストラクチャからScreenConnect MSIをダウンロードし、被害者の TEMP ディレクトリから起動します。リモートアクセスツールがインストールされると、攻撃者はシステムへの持続的なアクセスを得て、認証情報の盗難、偵察、ランサムウェアなどのさらなるマルウェアの配信が可能になります。
調査
Cofenseは、偽のZoomページに被害者を誘導し、偽のアップデートをインストールするよう促すフィッシングメールを識別しました。そのアップデートは _zoommeeting_Zoom_Installer_64_bit.exe.vbsと名付けられたVBSファイルを配信し、これは ScreenConnect.ClientSetup.msi インストーラをホストする不正なIPアドレスを示すハードコードされたURLを含んでいました。スクリプトはWindows Script Hostを介してMSIを隠しウィンドウで実行し、注意を引かないようにしました。
緩和策
組織は、Zoomをテーマにしたフィッシングルアーを検出およびブロックできるメールセキュリティコントロールを展開し、リモートアクセスツールに多要素認証を要求し、ユーザ書き込み可能なディレクトリからのVBSスクリプトの実行を制限するべきです。ディフェンダーは、既知の悪意のあるドメインやIPとの通信を監視し、正当なリモート管理ソフトウェアを制御するためのアプリケーション許可リストを適用するべきです。
対応
この活動が検出された場合は、影響を受けるエンドポイントを即座に隔離し、悪意のあるVBSファイルやインストールされたScreenConnectのコンポーネントを削除し、侵害された認証情報をリセットします。その後、調査者はフォレンジック分析を実行して、追加のマルウェアが配布されたか、データが流出したかどうかを確認するべきです。リモートアクセスポリシーも見直し、強化し、観測された侵害指標で検出コンテンツを更新するべきです。
攻撃フロー
検出
ダブル拡張子を持つ可能性のある悪意のあるVBSファイル(cmdline経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
代替リモートアクセス/管理ソフトウェア(process_creation経由)
表示
代替リモートアクセス/管理ソフトウェア(system経由)
表示
代替リモートアクセス/管理ソフトウェア(audit経由)
表示
MsiInstallerを使用した可能性のあるRMMソフトウェアインストール試行(アプリケーションログ経由)
表示
疑わしいファイルダウンロード直接IP(プロキシ経由)
表示
IOC(HashSha256)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(HashMd5)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(SourceIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(DestinationIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
ScreenConnectおよび悪意のあるZoomインストーラの実行検出【Windowsプロセス作成】
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが合格している必要があります。
理論: このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は直接TTPを反映し、検出ロジックが期待する正確なテレメトリを生成することを目的とします。
攻撃説明とコマンド
- 初期配信: 被害者は「Zoom会議 – アップデートをインストール」というタイトルのフィッシングメールを受け取ります。添付ファイルは
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - という名前のVBSスクリプトです。 実行: ユーザーがVBSファイルをダブルクリックし、 ユーザーがVBSファイルをダブルクリックし、
を呼び出してスクリプトを実行します。スクリプトは:ScreenConnect.ClientSetup.msiに- 2つのペイロードをドロップします。
- インストール: VBSスクリプトは msiexec.exe を静かに起動して
ScreenConnect.ClientSetup.msiをインストールします。/quietを使用して、ルール条件を満たす新しいプロセス作成イベントを作成します。そのイメージはScreenConnect.ClientSetup.msiで終わり、ルール条件を満たします。
回帰テストスクリプト
# --------------------------------------------------------------
# シミュレーションスクリプト – "ScreenConnect.ClientSetup.msi"
# および "_zoommeeting_Zoom_installer_64_bit.exe.vbs" 検出をトリガー
# --------------------------------------------------------------
# 1. ペイロードの準備(実際のテストではこれが悪意のあるファイルになります)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# 疑似ファイルで悪意のある名前をエミュレートします(ハッシュは後で追加可能です)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# 空のプレースホルダーファイルを作成します(ライブテスト用に実際のペイロードに置き換えます)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBSドロッパー – ディスクにMSIを書き込み、起動します
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. VBSドロッパーを実行する(これによりmsiexecが実行されます)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] シミュレーション実行 - 今すぐ検出が発生するはずです。" -ForegroundColor Green
クリーンアップコマンド
# --------------------------------------------------------------
# クリーンアップ – シミュレーションによって作成されたアーティファクトを削除
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# テストによって開始された残りのmsiexecプロセスを停止
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# 一時ファイルとディレクトリを削除
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] クリーンアップ完了。" -ForegroundColor Yellow