ローグスクリーンコネクト:2025年に見た一般的な社会工学の戦術
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターは、偽の社会保障報告書、招待状、請求書ドキュメントなどのソーシャルエンジニアリング手法を利用して、悪意のあるScreenConnect(リモート監視および管理)クライアントを配布しています。ルアーはフィッシングメールや悪意のあるウェブページを通じて配布され、被害者は名前を変更されたScreenConnectの実行ファイルをダウンロードすることになります。インストールされると、悪意のあるRMMは攻撃者に対し、被害にあったホストへの持続的なリモートアクセスを提供します。
調査
Huntressは、2025年1月から9月の間に、名前を変更されたScreenConnectのバイナリが複数の業種にわたるエンドポイントで実行された数十件のインシデントを観察しました。SOCは関連するドメイン名、IPアドレス、ファイルハッシュを収集し、ダイナミックDNSサービスの繰り返し使用や特定のルアー名付けパターンを指摘しました。詳細なログ分析では、悪意のあるクライアントが攻撃者が制御するドメインに連絡を取っていることが示されました。
緩和策
組織は、偽の報告書、請求書、招待ファイルを見抜くためにセキュリティ意識向上トレーニングを強化する必要があります。リモートアクセスツールの継続的な監視、署名されていないRMMバイナリの実行制限、既知の悪意のあるドメインへのネットワーク接続の監査が推奨されます。RMMソフトウェアを常に最新の状態に保ち、許可されたインスタンスのみをホワイトリストに登録してください。
対応手順
名前が変更されたScreenConnect実行ファイルを検出した場合、エンドポイントを隔離し、バイナリおよび関連するネットワークトラフィックを収集し、ファイアウォールでC2(Command and Control)ドメインをブロックします。フォレンジック分析を行って持続性メカニズムや横移動を特定し、妥協されたアカウントを修復し、資格情報をリセットします。
攻撃フロー
検出
代替リモートアクセス/管理ソフトウェア(システム経由)
表示
代替リモートアクセス/管理ソフトウェア(監査経由)
表示
非一般的なトップレベルドメイン(TLD)DNSリクエストによる疑わしいコマンドとコントロール(dns経由)
表示
代替リモートアクセス/管理ソフトウェア(プロセス生成経由)
表示
検出するためのIOCs(HashSha256): 2025年に見た一般的なソーシャルエンジニアリング戦術による不正ScreenConnect
表示
ソーシャルエンジニアリングルアーによる不正ScreenConnectインストール[Windowsプロセス作成]
表示
シミュレーション実行
プリリクイジット:テレメトリとベースラインの事前フライトチェックが合格している必要があります。
根拠:このセクションは、検出規則をトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明しています。コマンドとストーリーは、特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のストーリーとコマンド:
攻撃者は、 Social_Security_Statement_redacted.exe という名前の添付ファイルを使ってフィッシングメールを作成します。このファイルには実際には正当なScreenConnectインストーラー(または任意のペイロード)が含まれています。被害者はこれを個人財務書類であると信じてファイルをダブルクリックします。OSは実行可能ファイルを起動し、その際にイメージフィールドが悪意のあるファイル名で終了するプロセス作成イベントが生成されます。この正確なパターンはシグマルールに一致し、警報を上げる必要があります。 -
回帰テストスクリプト:
# -------------------------------------------------------------- # シミュレーションスクリプト – "Rogue ScreenConnect" ルールをトリガー # -------------------------------------------------------------- # 1. 無害なペイロード(例:calc.exe)を用意して名前を変更 $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. 回避を模倣するためにオプションで隠し属性を設定(T1564.004) attrib +h $dst # 3. 名前を変更したペイロードを実行(ユーザーのクリックをシミュレート) Start-Process -FilePath $dst # 4. ロギングを確実にするために少し待つ Start-Sleep -Seconds 5 # 5. 確認の出力 Write-Host "$dst を実行しました – 検出テレメトリを生成するはずです。" -
クリーンアップコマンド:
# 悪意のある外観の実行ファイルを削除し属性をクリア $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "クリーンアップ完了:$file を削除しました。" } else { Write-Host "ファイルが見つかりません;クリーンアップするものがありません。" }
レポート終了