2025年9月11日Ravie Lakshmananマルウェア / 認証情報窃取
サイバーセキュリティ研究者は、正規のリモート監視および管理(RMM)ソフトウェアであるConnectWise ScreenConnectを利用し、「ファイルレス」ローダーを配信してリモートアクセス型トロイの木馬(RAT)であるAsyncRATを展開し、侵害されたホストから機密データを窃取する新たなキャンペーンの詳細を明らかにしました。
「攻撃者はScreenConnectを使ってリモートアクセスを取得し、その後、外部URLから難読化されたコンポーネントを取得・実行する多層的なVBScriptおよびPowerShellローダーを実行しました」とLevelBlueはThe Hacker Newsと共有したレポートで述べています。「これらのコンポーネントにはエンコードされた.NETアセンブリが含まれており、最終的にAsyncRATが展開され、偽の『Skype Updater』というスケジュールタスクを用いて永続化が維持されます。」
サイバーセキュリティ企業が記録した感染チェーンでは、脅威アクターがScreenConnectの導入を利用してリモートセッションを開始し、手動操作でVisual Basic Scriptのペイロードを起動していることが判明しています。
「トロイの木馬化されたScreenConnectインストーラーが、金融やその他のビジネス文書を装ってフィッシングメールで送信されているのを確認しました」とLevelBlueのMDR SOCアナリスト、Sean Shirley氏はThe Hacker Newsに語りました。
このスクリプトは、PowerShellスクリプトを用いて攻撃者が管理するサーバーから2つの外部ペイロード(「logs.ldk」と「logs.ldr」)を取得するよう設計されています。2つのファイルのうち「logs.ldk」はDLLであり、ディスク上に2次的なVisual Basic Scriptを書き込み、「Skype Updater」として偽装したスケジュールタスクを利用して永続化を確立し、検知を回避します。
このVisual Basic Scriptには、攻撃の初期段階で観察されたのと同じPowerShellロジックが含まれています。スケジュールタスクにより、ペイロードは毎回ログイン時に自動的に実行されます。
PowerShellスクリプトは、「logs.ldk」を. NETアセンブリとしてロードするほか、「logs.ldr」をロード済みアセンブリへの入力として渡し、バイナリ(「AsyncClient.exe」)の実行につながります。これはAsyncRATのペイロードであり、キーストロークの記録、ブラウザ認証情報の窃取、システムのフィンガープリント取得、Google Chrome、Brave、Microsoft Edge、Opera、Mozilla Firefoxにインストールされた暗号資産ウォレットのデスクトップアプリやブラウザ拡張機能のスキャン機能を持っています。
これらすべての収集情報は最終的に、マルウェアがペイロードの実行や事後侵害コマンドの受信のためにビーコン通信を行うコマンド&コントロール(C2)サーバー(「3osch20.duckdns[.]org」)へTCPソケット経由で流出します。C2接続設定はハードコーディングされているか、リモートのPastebin URLから取得されます。
「ファイルレスマルウェアは、その秘匿性と正規のシステムツールを利用した実行方法により、現代のサイバーセキュリティ防御にとって依然として大きな課題となっています」とLevelBlueは述べています。「従来のマルウェアがペイロードをディスクに書き込むのに対し、ファイルレスの脅威はメモリ上で動作するため、検知・分析・駆除がより困難です。」
翻訳元: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html