- 攻撃者が.jpegファイルを改造し、PowerShellペイロードを配信し、改ざんされたScreenConnectをデプロイして永続性を確立
- マルウェアは認証情報の盗難、暗号化されたC2通信、および監視機能を有効にする
- Cyfirmaは、このキャンペーンが成熟した侵入フレームワークを反映していると警告
インターネットからファイルをダウンロードする際には注意が必要です。一見無害な.jpegファイルにもマルウェアが含まれている可能性があると、専門家らが警告しています。
セキュリティリサーチャーのCyfirmaが、「Operation SilentCanvas」と名付けた新しいハッキングキャンペーンに関する詳細なレポートを公開しました。感染数や被害者数は不明ですが、研究者らはこのキャンペーンがリモート管理ツールを使用する企業や組織をターゲットにしている可能性が高いと述べています。
攻撃は被害者が改造されたファイルを受け取ることから始まります。配信メカニズムの詳細は不明ですが、Cyfirmaはこのファイルが悪質な添付ファイル付きのフィッシングメール、欺瞞的なファイル共有インタラクション、または偽のソフトウェアおよびアップデートおとりを通じて配信されていると推測しています。
「プロフェッショナルに設計され、運用成熟度の高い侵入フレームワーク」
いずれにせよ、被害者が「sysupdate.jpeg」という名前のファイルを実行すると、悪意のあるPowerShellペイロードが実行されます。これは複数のことを行います。攻撃者のインフラから追加のペイロードをダウンロードし、秘密のリモートアクセス用に改ざんされたConnectWise ScreenConnectのバージョンをデプロイし、Windowsのセキュリティ保護をバイパスして悪意のあるレジストリエントリを追加することで権限を昇格させ、OneDriveServersという名前の偽のWindowsサービスを通じて永続性を確立します。
マルウェアは、コマンド・アンド・コントロール(C2)インフラストラクチャとの暗号化通信、認証情報の盗難、およびシステムフィンガープリンティングも可能にします。その他のサポート機能には、画面キャプチャ、マイク キャプチャ、およびクリップボード監視が含まれます。
「全体的な手口は、プロフェッショナルに設計され、長期的な秘密の永続性、認証情報の盗難、横展開、企業スパイ活動、および企業環境内での潜在的なランサムウェア配備をサポートすることができる運用成熟度の高い侵入フレームワークを反映しています」とCyfirmaは結論付けており、グループ名や特定の国や地域との関連性は明かしていません。
このキャンペーンから身を守るため、セキュリティ専門家は、csc.exe、cvtres.exe、ComputerDefaults.exeなど、一般的に悪用されるWindowsバイナリに注視する必要があります。可能であれば、これらは完全にブロックする必要があります。リモートアクセスプラットフォームは厳密に制御され、疑わしいPowerShell動作の検出ルールを設定する必要があります。
最後に、予期しないScreenConnect アクティビティが表示されるシステムは、すぐに隔離する必要があります。
