SOC Prime Bias: Високий

19 May 2026 13:30 UTC

Натисніть, Встановіть, Уразливий: Нова Хвиля Атак із Темою Zoom

Author Photo
SOC Prime Team linkedin icon Стежити
Натисніть, Встановіть, Уразливий: Нова Хвиля Атак із Темою Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники використовують підроблені запрошення на зустрічі в Zoom для доставки шкідливого завантажувача VBS, який встановлює ConnectWise ScreenConnect, легітимний інструмент для віддаленого доступу. Шкідливе навантаження VBS завантажує MSI ScreenConnect із інфраструктури під контролем нападника та запускає його з директорії TEMP жертви. Після установки засобу віддаленого доступу зловмисники отримують постійний доступ до системи, що дозволяє крадіжку облікових даних, розвідку і доставку подальшого шкідливого ПО, наприклад, програм-вимагачів.

Розслідування

Cofense виявили фішингові електронні листи, які перенаправляли жертв на підроблену сторінку Zoom, де пропонувалося встановити фальшиве оновлення. Це оновлення доставляло файл VBS під назвою _zoommeeting_Zoom_Installer_64_bit.exe.vbs, який містив жорстко задане URL-адреса, що вказує на шкідливу IP-адресу, яка розміщує ScreenConnect.ClientSetup.msi інсталятор. Скрипт потім запускав MSI через Windows Script Host у прихованому вікні, щоб уникнути привернення уваги.

Пом’якшення

Організації повинні розгортати засоби безпеки електронної пошти, які можуть виявляти та блокувати фішингові приманки з темою Zoom, вимагати багатофакторну аутентифікацію для інструментів віддаленого доступу та обмежувати запуск VBS-скриптів з директорій, доступних для запису користувачам. Захисники повинні також моніторити мережевий трафік на наявність зв’язку з відомими шкідливими доменами та IP-адресами і застосовувати список дозволених додатків для контролю легітимного програмного забезпечення для віддаленого адміністрування.

Реакція

Якщо така активність виявлена, негайно ізолюйте уражену кінцеву точку, видаліть шкідливий файл VBS і будь-які встановлені компоненти ScreenConnect, а також змініть скомпрометовані облікові дані. Слідчі повинні потім виконати судову експертизу, щоб визначити, чи було розгорнуто додаткове шкідливе ПО або чи були ексфільтровані дані. Політики віддаленого доступу також повинні бути переглянуті та укріплені, і контент для виявлення повинен бути оновлений з урахуванням виявлених індикаторів компрометації.

Потік Атаки

Виявлення

Можливий шкідливий файл VBS з подвійним розширенням (через cmdline)

Команда SOC Prime
19 травня 2026

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
19 травня 2026

Альтернативне програмне забезпечення для віддаленого доступу / керування (через process_creation)

Команда SOC Prime
19 травня 2026

Альтернативне програмне забезпечення для віддаленого доступу / керування (через систему)

Команда SOC Prime
19 травня 2026

Альтернативне програмне забезпечення для віддаленого доступу / керування (через аудит)

Команда SOC Prime
19 травня 2026

Можлива спроба установки програмного забезпечення RMM за допомогою MsiInstaller (через журнали застосунків)

Команда SOC Prime
19 травня 2026

Підозріле завантаження файлу через прямий IP (через проксі)

Команда SOC Prime
19 травня 2026

IOCs (HashSha256) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom

Правила AI від SOC Prime
19 травня 2026

IOCs (HashMd5) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom

Правила AI від SOC Prime
19 травня 2026

IOCs (SourceIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom

Правила AI від SOC Prime
19 травня 2026

IOCs (DestinationIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom

Правила AI від SOC Prime
19 травня 2026

Виявлення виконання ScreenConnect та шкідливого інсталятора Zoom [Створення процесу в Windows]

Правила AI від SOC Prime
19 травня 2026

Виконання симуляції

Необхідна умова: Телеметрія та базове перевіряння попереднього польоту повинні бути успішно пройдені.

Обґрунтування: Цей розділ детально висвітлює точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.

План атаки та команди

  1. Початкова доставка: Жертва отримує фішинговий електронний лист із заголовком “Zoom Meeting – Install Update”. Прикріплений файл — це VBS-скрипт із назвою _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Виконання: Користувач двічі клацає файл VBS, який викликає cscript.exe для виконання скрипта. Скрипт скидає два навантаження в %TEMP%:
    • ScreenConnect.ClientSetup.msi – шкідливий інсталятор інструменту віддаленого доступу.
    • Друга двері PowerShell (не є частиною цього правила).
  3. Установка: Скрипт VBS мовчазно запускає msiexec.exe для установки ScreenConnect.ClientSetup.msi з /quiet. Це створює нову подію створення процесу, яка Зображення закінчується на ScreenConnect.ClientSetup.msi, задовольняючи умову правила.

Тестовий сценарій регресії

# --------------------------------------------------------------
#  Сценарій симуляції – тригери "ScreenConnect.ClientSetup.msi"
#  та "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------

# 1. Приготуйте навантаження (у реальному тесті це могли б бути шкідливі файли)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Файли-пустишки для емуляції шкідливих імен (хеші можуть бути додані пізніше)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Створіть пусті файли-заповнювачі (замість них використайте реальні навантаження для живого тесту)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS дроппер – записує MSI на диск та запускає його
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Виконайте VBS дроппер (це в свою чергу запустить msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Симуляцію виконано – детекція повинна спрацювати зараз." -ForegroundColor Green

Команди для очищення

# --------------------------------------------------------------
#  Очищення – видаляє артефакти, створені симуляцією
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Зупиніть будь-які залишкові процеси msiexec, запущені тестом
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Видаліть тимчасові файли та директорії
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Очищення завершено." -ForegroundColor Yellow