サイバーセキュリティ研究者によると、リモート監視および管理(RMM)ツールをフィッシング経由で初期アクセスに悪用するサイバー攻撃の増加が観測されています。
DarkAtlasリサーチプロジェクトの新たな調査によると、先進的持続的脅威(APT)グループがAnyDesk、ConnectWise ScreenConnect、Ateraなどの人気RMMプラットフォームを悪用し、不正にシステムを制御しています。
AnyDeskは検出が容易になったため、多くの攻撃者が使用を控えるようになりましたが、最近ではScreenConnectが攻撃者の間で注目を集めています。
ConnectWiseによって開発されたScreenConnectは、IT管理者がタスクの展開、デバイスの管理、Windows、macOS、Linux、iOS、Androidなど複数のオペレーティングシステムでリモートサポートを提供できるよう設計されています。
研究者によると、脅威アクターはScreenConnectの正規機能(無人アクセス、VPN機能、REST API統合、ファイル転送など)を悪用し、永続化や侵害ネットワーク内での横移動を実現しています。
攻撃者がScreenConnectを悪用する方法
インストール時、ScreenConnectクライアントは主にメモリ上で動作し、ディスク上にはほとんど痕跡を残さず、基本的なウイルス対策スキャンを回避します。
調査によると、攻撃者はプラットフォームの管理コンソールを使い、カスタムURLや招待リンクを生成します。これらは本来リモートアクセスを簡素化するためのツールですが、フィッシングに再利用され、被害者を騙して悪意あるScreenConnectクライアントをインストールさせます。
一度展開されると、クライアントバイナリ(一般的にScreenConnect.WindowsClient.exeという名前)はWindowsサービスとして登録され、永続的なリモート接続を提供します。
また、user.configやsystem.configなどの設定ファイルには、ホスト名、IPマッピング、暗号化キーが保存されており、これらは不審なドメインへの接続を追跡する手がかりとなります。
リモートアクセスツールの悪用について詳しく読む:フィッシングキャンペーンがRMMツールをリモートアクセスに利用
防御側への影響
DarkAtlasの調査では、ScreenConnectの動作中に生成される主なイベントログとして、Security Event ID 4573やApplication Logイベント100、101が特定されました。
これらはデジタルフォレンジックやインシデント対応チームにとって貴重な指標となります。興味深いことに、オペレーターと被害者間のチャットデータはディスクではなくメモリ上に保存されるため、調査時にはメモリ取得が不可欠です。
レポートは、ScreenConnectが正規のRMMプラットフォームとして持つ柔軟性や広範なシステムアクセスが、攻撃者にとっても魅力的であると結論付けています。
これらの脅威に対抗するため、防御側は以下を注意深く監視する必要があります:
-
カスタムURLや招待リンク
-
永続的なクライアントバイナリ
-
関連する設定ファイルやイベントID
DarkAtlasの調査が強調しているように、ScreenConnectの悪用に関するこれら微妙な兆候を理解し検知することは、効果的なデジタルフォレンジックおよびインシデント対応(DFIR)、脅威ハンティングに不可欠です。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-target-screenconnects/
