SOC Prime Bias: 中程度

06 May 2026 11:31 UTC

VENOMOUS#HELPER: シンプルでリモートアクセスを可能にする二重RMMフィッシングキャンペーン、JWrapperでパッケージされたSimpleHelpとScreenConnectを使用

Author Photo
SOC Prime Team linkedin icon フォローする
VENOMOUS#HELPER: シンプルでリモートアクセスを可能にする二重RMMフィッシングキャンペーン、JWrapperでパッケージされたSimpleHelpとScreenConnectを使用
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

フィッシングキャンペーンは、JWrapperでパックされた実行ファイルを配布するために、侵害されたメキシコのウェブサイトを利用しています。このファイルは、SimpleHelpとScreenConnectという正規のリモート管理ツールをインストールします。どちらのバイナリも署名されており、通常は信頼されていますが、攻撃者はこれを悪用し、Windowsサービスとセーフモードのレジストリの変更を通じて、持続的で静かなリモートアクセスを得ています。2025年4月以降、この活動はアメリカ、 西ヨーロッパ、ラテンアメリカの80以上の組織に影響を与えています。帰属は不明ですが、このキャンペーンは金銭動機に見えます。

調査

Securonixは、配信されたペイロードの動的解析を行い、SimpleHelp 5.0.1とConnectWise ScreenConnectを利用したデュアルチャネルのリモートアクセス設定を発見しました。マルウェアはWindowsサービスとしてインストールされ、セーフモードでも再起動時に生き残るようにSafeBootのレジストリエントリを作成します。また、インストールされたセキュリティ製品を特定し、ユーザーがマシンにいるかどうかを判断するために、繰り返しポーリングループを使用します。調査員は、名前を変更した wmic.exe.bak バイナリが、名前ベースの検出を回避するための実行チェーンの一部として使用されていることも発見しました。

緩和策

セキュリティチームは、 Remote Access Service Windowsサービス、関連するSafeBootのレジストリエントリ、および wmic.exe.bakSystem32wbem ディレクトリに現れることを監視する必要があります。ネットワーク防御は、 84.200.205.233:5555 へのUDP送信トラフィックと、 sslzeromail.run.place:8041へのTCP送信トラフィックをブロックする必要があります。防御者はまた、悪意のあるサービスと関連ファイルを取り除き、名前が変更されたユーティリティやその他の侵入に関連するアーティファクトを探す必要があります。

対応

この活動が検出された場合、影響を受けたシステムを直ちに隔離し、悪意のあるサービスを停止および削除し、SafeBootのレジストリエントリを削除し、ホストからJWrapperのインストールディレクトリを削除してください。その後、捜査官はフォレンジック分析を行い、横方向の動きが発生したかどうかを確認し、検出ロジックを更新してキャンペーンで見られた特定のプロセスチェーンやコマンドパターンを捉えるようにしてください。関連する利害関係者に通知し、追加の被害者を特定するためにより広範な脅威ハンティングを検討するべきです。

攻撃フロー

検出

JWrapperリモートアクセスディレクトリから実行されたSimpleHelpエージェント(プロセス作成経由)

SOC Primeチーム
2026年5月5日

アンチウイルスまたはファイアウォールソフトウェアの列挙の可能性(プロセス作成経由)

SOC Primeチーム
2026年5月5日

代替リモートアクセス/管理ソフトウェア(プロセス作成経由)

SOC Primeチーム
2026年5月5日

Simple Help RMM使用試行の可能性(ファイルイベント経由)

SOC Primeチーム
2026年5月5日

検出すべきIOC (HashSha512):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン

SOC Prime AI ルール
2026年5月5日

検出すべきIOC (HashSha256):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン

SOC Prime AI ルール
2026年5月5日

検出すべきIOC (HashMd5):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン

SOC Prime AI ルール
2026年5月5日

検出すべきIOC(送信元IP):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン

SOC Prime AI ルール
2026年5月5日

検出すべきIOC(宛先IP):VENOMOUS#HELPER:静かなリモートアクセスのためにJWrapperパッケージ化されたSimpleHelpとScreenConnectを利用するデュアルRMMフィッシングキャンペーン

SOC Prime AI ルール
2026年5月5日

wmic.exeとWiFiインターフェースコマンドの名称変更による潜在的なRAT活動の監視 [Windows Sysmon]

SOC Prime AI ルール
2026年5月5日

SimpleHelpとScreenConnectを使用したデュアルRMMフィッシングキャンペーンの検出 [Windowsプロセス作成]

SOC Prime AI ルール
2026年5月5日

シミュレーション実行

前提条件:テレメトリおよびベースラインのプリフライトチェックが合格している必要があります。

根拠:このセクションでは、検出ルールをトリガーするように設計された攻撃者技術(TTP)の正確な実行を詳細に説明します。コマンドと記述は、特定のTTPに直接反映されており、検出ロジックによって期待されるテレメトリを正確に生成することを目指しています。

  • 攻撃のストーリーとコマンド:

    攻撃者はフィッシングの添付ファイルを受け取ります(T1566.001)。それは statement5648.exe という名前の悪意のあるペイロードを %TEMP% ディレクトリにドロップします。検出を回避するために、ファイルには有効な証明書が署名されており(難読化されたコード – T1027)、Windowsサービス(T1543.003)として実行されて持続性を保ちます。この実行可能ファイルの名前がルールの接尾辞の1つと一致するため、Sysmonは イメージstatement5648.exeで終わるEventID 1を記録し、検出ルールを発火させる必要があります。攻撃者はまた、アンチウイルスを無効化(T1562.009)し、昇格権限を得るためにUACバイパス(T1548.002)を試みます。

  • 回帰テストスクリプト:

    #------------------------------------------------------------
    # デュアルRMMフィッシングキャンペーンシミュレーション - Sigmaルールをトリガー
    #------------------------------------------------------------
    $payloadPath = "$env:TEMPstatement5648.exe"
    $serviceName = "DualRMMHelper"
    
    # 1. ダミーの実行可能ファイル(notepad.exeのコピー)をドロップし、名前を変更
    Write-Host "[*] $payloadPathに偽装されたペイロードをドロップしています"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
    
    # 2. ペイロードを実行するWindowsサービスを作成(持続性)
    Write-Host "[*] サービス $serviceName をインストールしています"
    sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null
    
    # 3. サービスを開始 – これによりSysmon ProcessCreateイベントが生成される
    Write-Host "[*] サービス $serviceName を開始しています"
    sc.exe start $serviceName > $null
    
    # 4. 任意:UACバイパス / トークン偽装のシミュレーション(実際には何もしないプラシーボ)
    #    実際の赤チーム実行では、Invoke-BypassUACや類似のものが必要です。
    Write-Host "[*] シミュレーション完了 – ディテクションのためにSIEMを確認してください。"
    #------------------------------------------------------------
  • クリーンアップコマンド:

    #------------------------------------------------------------
    # デュアルRMMシミュレーションのクリーンアップ
    #------------------------------------------------------------
    $serviceName = "DualRMMHelper"
    $payloadPath = "$env:TEMPstatement5648.exe"
    
    # サービスを停止して削除
    sc.exe stop $serviceName > $null
    sc.exe delete $serviceName > $null
    
    # 偽の実行可能ファイルを削除
    Remove-Item -Path $payloadPath -Force
    
    Write-Host "[*] クリーンアップ完了。"
    #------------------------------------------------------------