フォローする 
概要
脅威アクターは、偽のZoom会議招待を利用して、正当なリモートアクセスアプリケーションであるConnectWise ScreenConnectをインストールする悪意のあるVBSダウンローダーを配信しています。VBSペイロードは攻撃者が制御するインフラストラクチャからScreenConnect MSIをダウンロードし、被害者の TEMP ディレクトリから起動します。リモートアクセスツールがインストールされると、攻撃者はシステムへの持続的なアクセスを得て、認証情報の盗難、偵察、ランサムウェアなどのさらなるマルウェアの配信が可能になります。
調査
Cofenseは、偽のZoomページに被害者を誘導し、偽のアップデートをインストールするよう促すフィッシングメールを識別しました。そのアップデートは _zoommeeting_Zoom_Installer_64_bit.exe.vbsと名付けられたVBSファイルを配信し、これは ScreenConnect.ClientSetup.msi インストーラをホストする不正なIPアドレスを示すハードコードされたURLを含んでいました。スクリプトはWindows Script Hostを介してMSIを隠しウィンドウで実行し、注意を引かないようにしました。
緩和策
組織は、Zoomをテーマにしたフィッシングルアーを検出およびブロックできるメールセキュリティコントロールを展開し、リモートアクセスツールに多要素認証を要求し、ユーザ書き込み可能なディレクトリからのVBSスクリプトの実行を制限するべきです。ディフェンダーは、既知の悪意のあるドメインやIPとの通信を監視し、正当なリモート管理ソフトウェアを制御するためのアプリケーション許可リストを適用するべきです。
対応
この活動が検出された場合は、影響を受けるエンドポイントを即座に隔離し、悪意のあるVBSファイルやインストールされたScreenConnectのコンポーネントを削除し、侵害された認証情報をリセットします。その後、調査者はフォレンジック分析を実行して、追加のマルウェアが配布されたか、データが流出したかどうかを確認するべきです。リモートアクセスポリシーも見直し、強化し、観測された侵害指標で検出コンテンツを更新するべきです。
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[“<b>アクション</b> – <b>T1672 メールスプーフィング</b><br/><b>説明</b>: 攻撃者がZoom公式に見えるメール送信”] class action_email_spoof action action_phishing[“<b>アクション</b> – <b>T1566 フィッシング</b><br/><b>説明</b>: 偽Zoomページへのリンクを含むメール”] class action_phishing action action_user_exec_link[“<b>アクション</b> – <b>T1204.001 ユーザー実行: 悪性リンク</b><br/><b>説明</b>: ユーザーがリンクをクリックし偽ページへ遷移”] class action_user_exec_link action action_masquerade_file[“<b>アクション</b> – <b>T1036.008 ファイル偽装</b><br/><b>説明</b>: Zoomインストーラ偽装のVBSをダウンロードさせる”] class action_masquerade_file action action_user_exec_vbs[“<b>アクション</b> – <b>T1204 ユーザー実行</b><br/><b>説明</b>: VBSファイル実行(ダウンローダ)”] class action_user_exec_vbs action action_download_rat[“<b>アクション</b> – <b>T1219 リモートアクセスツール</b><br/><b>説明</b>: ScreenConnectをインストール”] class action_download_rat action action_persistence[“<b>アクション</b> – <b>T1133 外部リモートサービス</b><br/><b>説明</b>: Windowsサービスとして登録され永続化”] class action_persistence action tool_vbs[“<b>ツール</b> – Zoom_Installer_64_bit.exe.vbs<br/><b>説明</b>: ペイロード取得用VBS”] class tool_vbs tool tool_screenconnect[“<b>ツール</b> – ConnectWise ScreenConnect Client<br/><b>説明</b>: リモートアクセスソフト”] class tool_screenconnect tool process_download[“<b>プロセス</b> – ScreenConnect MSIダウンロード<br/><b>説明</b>: ScreenConnect.ClientSetup.msi取得”] class process_download process action_email_spoof –>|進行| action_phishing action_phishing –>|進行| action_user_exec_link action_user_exec_link –>|進行| action_masquerade_file action_masquerade_file –>|進行| action_user_exec_vbs action_user_exec_vbs –>|使用| tool_vbs tool_vbs –>|ダウンロード| process_download process_download –>|インストール| tool_screenconnect tool_screenconnect –>|有効化| action_download_rat action_download_rat –>|提供| action_persistence
攻撃フロー
検出
ダブル拡張子を持つ可能性のある悪意のあるVBSファイル(cmdline経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
代替リモートアクセス/管理ソフトウェア(process_creation経由)
表示
代替リモートアクセス/管理ソフトウェア(system経由)
表示
代替リモートアクセス/管理ソフトウェア(audit経由)
表示
MsiInstallerを使用した可能性のあるRMMソフトウェアインストール試行(アプリケーションログ経由)
表示
疑わしいファイルダウンロード直接IP(プロキシ経由)
表示
IOC(HashSha256)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(HashMd5)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(SourceIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
IOC(DestinationIP)の検出: クリック、インストール、侵害: 新しい波のZoomテーマ攻撃
表示
ScreenConnectおよび悪意のあるZoomインストーラの実行検出【Windowsプロセス作成】
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが合格している必要があります。
理論: このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は直接TTPを反映し、検出ロジックが期待する正確なテレメトリを生成することを目的とします。
攻撃説明とコマンド
- 初期配信: 被害者は「Zoom会議 – アップデートをインストール」というタイトルのフィッシングメールを受け取ります。添付ファイルは
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - という名前のVBSスクリプトです。 実行: ユーザーがVBSファイルをダブルクリックし、 ユーザーがVBSファイルをダブルクリックし、
を呼び出してスクリプトを実行します。スクリプトは:ScreenConnect.ClientSetup.msiに- 2つのペイロードをドロップします。
- インストール: VBSスクリプトは msiexec.exe を静かに起動して
ScreenConnect.ClientSetup.msiをインストールします。/quietを使用して、ルール条件を満たす新しいプロセス作成イベントを作成します。そのイメージはScreenConnect.ClientSetup.msiで終わり、ルール条件を満たします。
回帰テストスクリプト
# --------------------------------------------------------------
# シミュレーションスクリプト – "ScreenConnect.ClientSetup.msi"
# および "_zoommeeting_Zoom_installer_64_bit.exe.vbs" 検出をトリガー
# --------------------------------------------------------------
# 1. ペイロードの準備(実際のテストではこれが悪意のあるファイルになります)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# 疑似ファイルで悪意のある名前をエミュレートします(ハッシュは後で追加可能です)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# 空のプレースホルダーファイルを作成します(ライブテスト用に実際のペイロードに置き換えます)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBSドロッパー – ディスクにMSIを書き込み、起動します
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. VBSドロッパーを実行する(これによりmsiexecが実行されます)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] シミュレーション実行 - 今すぐ検出が発生するはずです。" -ForegroundColor Greenクリーンアップコマンド
# --------------------------------------------------------------
# クリーンアップ – シミュレーションによって作成されたアーティファクトを削除
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# テストによって開始された残りのmsiexecプロセスを停止
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# 一時ファイルとディレクトリを削除
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] クリーンアップ完了。" -ForegroundColor Yellow