클릭, 설치, 감염: 새로운 유형의 줌 테마 공격

SOC Prime Team

팔로우

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

위협 행위자들은 가짜 줌 회의 초대를 이용하여 ConnectWise ScreenConnect를 설치하는 악성 VBS 다운로드 프로그램을 전달하고 있습니다. VBS 페이로드는 공격자 제어 인프라에서 ScreenConnect MSI를 다운로드하여 피해자의 임시 디렉터리에서 실행합니다. 원격 액세스 도구가 설치된 후 공격자는 시스템에 지속적으로 접근하여 자격 증명 탈취, 정찰, 랜섬웨어와 같은 추가 악성 소프트웨어를 전달할 수 있습니다.

조사

Cofense는 희생자들을 가짜 업데이트 설치를 유도하는 가짜 줌 페이지로 안내하는 피싱 이메일을 식별했습니다. 그 업데이트는 _zoommeeting_Zoom_Installer_64_bit.exe.vbs라는 이름의 VBS 파일을 제공했으며, 이는 ScreenConnect.ClientSetup.msi 설치 프로그램을 호스팅하는 악성 IP 주소를 가리키는 URL을 하드코딩하고 있었습니다. 스크립트는 주의를 끌지 않기 위해 숨김 창에서 Windows Script Host를 통해 MSI를 실행했습니다.

완화

조직은 줌 테마의 피싱 미끼를 감지하고 차단할 수 있는 이메일 보안 제어를 배포하고, 원격 액세스 도구에 다단계 인증을 요구하며, 사용자 쓰기 가능한 디렉터리에서 VBS 스크립트 실행을 제한해야 합니다. 방어자는 또한 알려진 악성 도메인 및 IP와의 통신을 모니터링하고 합법적인 원격 관리 소프트웨어를 제어하기 위해 애플리케이션 허용 목록을 적용해야 합니다.

대응

이 활동이 감지되면 영향을 받은 엔드포인트를 즉시 격리하고, 악성 VBS 파일과 설치된 모든 ScreenConnect 구성 요소를 제거하며, 위협받은 자격 증명을 재설정하십시오. 조사자는 추가적인 악성 코드가 배포되었거나 데이터가 유출되었는지 판단하기 위한 포렌식 분석을 수행해야 합니다. 원격 액세스 정책도 검토 및 강화되어야 하며, 관찰된 침해 지표로 탐지 콘텐츠를 업데이트해야 합니다.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[“동작 – T1672 이메일 스푸핑 설명: 공격자가 Zoom 공식 주소처럼 보이는 이메일을 전송”] class action_email_spoof action action_phishing[“동작 – T1566 피싱 설명: 이메일에 가짜 Zoom 회의 링크 포함”] class action_phishing action action_user_exec_link[“동작 – T1204.001 사용자 실행: 악성 링크 설명: 사용자가 링크 클릭 후 가짜 Zoom 페이지로 이동”] class action_user_exec_link action action_masquerade_file[“동작 – T1036.008 파일 유형 위장 설명: VBS 스크립트를 Zoom 설치 파일로 위장하여 다운로드 유도”] class action_masquerade_file action action_user_exec_vbs[“동작 – T1204 사용자 실행 설명: VBS 파일 실행 (다운로더 역할)”] class action_user_exec_vbs action action_download_rat[“동작 – T1219 원격 접근 도구 설명: ScreenConnect 설치”] class action_download_rat action action_persistence[“동작 – T1133 외부 원격 서비스 설명: Windows 서비스로 등록되어 지속성 확보”] class action_persistence action tool_vbs[“도구 – Zoom_Installer_64_bit.exe.vbs 설명: 추가 페이로드 다운로드 스크립트”] class tool_vbs tool tool_screenconnect[“도구 – ConnectWise ScreenConnect Client 설명: 원격 접근 도구”] class tool_screenconnect tool process_download[“프로세스 – ScreenConnect MSI 다운로드 설명: ScreenConnect.ClientSetup.msi 다운로드”] class process_download process action_email_spoof –>|진행| action_phishing action_phishing –>|진행| action_user_exec_link action_user_exec_link –>|진행| action_masquerade_file action_masquerade_file –>|진행| action_user_exec_vbs action_user_exec_vbs –>|사용| tool_vbs tool_vbs –>|다운로드| process_download process_download –>|설치| tool_screenconnect tool_screenconnect –>|활성화| action_download_rat action_download_rat –>|제공| action_persistence

공격 흐름

공격 서술 및 명령

초기 전달: 피해자는 ‘줌 회의 – 업데이트 설치’라는 제목의 피싱 이메일을 받습니다. 첨부 파일은 _zoommeeting_Zoom_installer_64_bit.exe.vbs.
라는 이름의 VBS 스크립트입니다. 실행: 사용자가 VBS 파일을 더블 클릭하여 사용자가 VBS 파일을 더블 클릭하여 %TEMP%:
- ScreenConnect.ClientSetup.msi 에 두 개의 페이로드를 드롭합니다. 하나는 악성 원격 액세스 도구 설치 프로그램이고,
- 다른 하나는 파워쉘 백도어(이 규칙의 일부는 아님)입니다.
설치: VBS 스크립트는 msiexec.exe 를 조용히 실행하여 ScreenConnect.ClientSetup.msi 를 설치합니다. /quiet를 사용합니다. 이는 Image 가 ScreenConnect.ClientSetup.msi로 끝나는 새로운 프로세스 생성 이벤트를 발생시켜 규칙 조건을 충족합니다.

회귀 테스트 스크립트

# --------------------------------------------------------------
#  Simulation Script – Triggers "ScreenConnect.ClientSetup.msi"
#  and "_zoommeeting_Zoom_installer_64_bit.exe.vbs" detections
# --------------------------------------------------------------

# 1. Prepare payloads (in a real test these would be the malicious files)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Dummy files to emulate the malicious names (hashes can be added later)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Create empty placeholder files (replace with real payloads for live test)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – writes the MSI to disk and launches it
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Execute the VBS dropper (this will in turn launch msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulation executed – detection should fire now." -ForegroundColor Green

정리 명령

# --------------------------------------------------------------
#  시뮬레이션 스크립트 – "ScreenConnect.ClientSetup.msi"
#  및 "_zoommeeting_Zoom_installer_64_bit.exe.vbs" 탐지를 트리거
# --------------------------------------------------------------

# 1. 페이로드 준비(실제 테스트에서는 악성 파일이 됩니다)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# 악성 이름을 에뮬레이션하기 위한 더미 파일 생성(해시는 나중에 추가 가능)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# 실제 페이로드를 위한 빈 자리표시자 파일 생성(활성 테스트에서는 교체 필요)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS 드로퍼 – 디스크에 MSI를 작성하고 실행
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. VBS 드로퍼 실행(결과적으로 msiexec을 실행하게 됨)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] 시뮬레이션 실행됨 – 탐지가 활성화되어야 합니다." -ForegroundColor Green

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입