SOC Prime Bias: 高い

19 May 2026 13:30 UTC

クリック、インストール、侵害された:新たなZoomをテーマにした攻撃の波

Author Photo
SOC Prime Team linkedin icon フォローする
クリック、インストール、侵害された:新たなZoomをテーマにした攻撃の波
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

脅威アクターは、偽のZoom会議招待を利用して、正当なリモートアクセスアプリケーションであるConnectWise ScreenConnectをインストールする悪意のあるVBSダウンローダーを配信しています。VBSペイロードは攻撃者が制御するインフラストラクチャからScreenConnect MSIをダウンロードし、被害者の TEMP ディレクトリから起動します。リモートアクセスツールがインストールされると、攻撃者はシステムへの持続的なアクセスを得て、認証情報の盗難、偵察、ランサムウェアなどのさらなるマルウェアの配信が可能になります。

調査

Cofenseは、偽のZoomページに被害者を誘導し、偽のアップデートをインストールするよう促すフィッシングメールを識別しました。そのアップデートは _zoommeeting_Zoom_Installer_64_bit.exe.vbsと名付けられたVBSファイルを配信し、これは ScreenConnect.ClientSetup.msi インストーラをホストする不正なIPアドレスを示すハードコードされたURLを含んでいました。スクリプトはWindows Script Hostを介してMSIを隠しウィンドウで実行し、注意を引かないようにしました。

緩和策

組織は、Zoomをテーマにしたフィッシングルアーを検出およびブロックできるメールセキュリティコントロールを展開し、リモートアクセスツールに多要素認証を要求し、ユーザ書き込み可能なディレクトリからのVBSスクリプトの実行を制限するべきです。ディフェンダーは、既知の悪意のあるドメインやIPとの通信を監視し、正当なリモート管理ソフトウェアを制御するためのアプリケーション許可リストを適用するべきです。

対応

この活動が検出された場合は、影響を受けるエンドポイントを即座に隔離し、悪意のあるVBSファイルやインストールされたScreenConnectのコンポーネントを削除し、侵害された認証情報をリセットします。その後、調査者はフォレンジック分析を実行して、追加のマルウェアが配布されたか、データが流出したかどうかを確認するべきです。リモートアクセスポリシーも見直し、強化し、観測された侵害指標で検出コンテンツを更新するべきです。

攻撃フロー

検出

ダブル拡張子を持つ可能性のある悪意のあるVBSファイル(cmdline経由)

SOC Primeチーム
2026年5月19日

LOLBAS WScript / CScript(process_creation経由)

SOC Primeチーム
2026年5月19日

代替リモートアクセス/管理ソフトウェア(process_creation経由)

SOC Primeチーム
2026年5月19日

代替リモートアクセス/管理ソフトウェア(system経由)

SOC Primeチーム
2026年5月19日

代替リモートアクセス/管理ソフトウェア(audit経由)

SOC Primeチーム
2026年5月19日

MsiInstallerを使用した可能性のあるRMMソフトウェアインストール試行(アプリケーションログ経由)

SOC Primeチーム
2026年5月19日

疑わしいファイルダウンロード直接IP(プロキシ経由)

SOC Primeチーム
2026年5月19日

IOC(HashSha256)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃

SOC Prime AIルール
2026年5月19日

IOC(HashMd5)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃

SOC Prime AIルール
2026年5月19日

IOC(SourceIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃

SOC Prime AIルール
2026年5月19日

IOC(DestinationIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃

SOC Prime AIルール
2026年5月19日

ScreenConnectおよび悪意のあるZoomインストーラの実行検出【Windowsプロセス作成】

SOC Prime AIルール
2026年5月19日

シミュレーション実行

前提条件: テレメトリとベースラインのプレフライトチェックが合格している必要があります。

理論: このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は直接TTPを反映し、検出ロジックが期待する正確なテレメトリを生成することを目的とします。

攻撃説明とコマンド

  1. 初期配信: 被害者は「Zoom会議 – アップデートをインストール」というタイトルのフィッシングメールを受け取ります。添付ファイルは _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. という名前のVBSスクリプトです。 実行: ユーザーがVBSファイルをダブルクリックし、 ユーザーがVBSファイルをダブルクリックし、 を呼び出してスクリプトを実行します。スクリプトは:
    • ScreenConnect.ClientSetup.msi
    • 2つのペイロードをドロップします。
  3. インストール: VBSスクリプトは msiexec.exe を静かに起動して ScreenConnect.ClientSetup.msi をインストールします。 /quietを使用して、ルール条件を満たす新しいプロセス作成イベントを作成します。その イメージScreenConnect.ClientSetup.msiで終わり、ルール条件を満たします。

回帰テストスクリプト

# --------------------------------------------------------------
#  シミュレーションスクリプト – "ScreenConnect.ClientSetup.msi"
#  および "_zoommeeting_Zoom_installer_64_bit.exe.vbs" 検出をトリガー
# --------------------------------------------------------------

# 1. ペイロードの準備(実際のテストではこれが悪意のあるファイルになります)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# 疑似ファイルで悪意のある名前をエミュレートします(ハッシュは後で追加可能です)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# 空のプレースホルダーファイルを作成します(ライブテスト用に実際のペイロードに置き換えます)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBSドロッパー – ディスクにMSIを書き込み、起動します
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. VBSドロッパーを実行する(これによりmsiexecが実行されます)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] シミュレーション実行 - 今すぐ検出が発生するはずです。" -ForegroundColor Green

クリーンアップコマンド

# --------------------------------------------------------------
#  クリーンアップ – シミュレーションによって作成されたアーティファクトを削除
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# テストによって開始された残りのmsiexecプロセスを停止
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# 一時ファイルとディレクトリを削除
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] クリーンアップ完了。" -ForegroundColor Yellow