ハッカーがScreenConnectリモートアクセスツールを悪用、偽インストーラー経由でAsyncRATを展開

正規のリモート管理ツールであるScreenConnectを悪用し、偽のソフトウェアインストーラーを通じてAsyncRATを展開する広範なキャンペーンが確認されています。

この感染チェーンでは、信頼済みバイナリの悪用、DLLサイドローディング、リフレクティブローディング、プロセスホローイングを組み合わせることで、ステルス性の高い永続化とリモート制御を実現しています。これは、企業がリモート管理ツールに寄せる信頼そのものを逆手に取る手口です。

このキャンペーンの配布手法は極めて再現性が高いものです。攻撃者は人気のフリーソフトであるOBS Studio、DNS Jumper、DS4Windows、Bandicamなどになりすましたタイポスクワッティングサイトや偽装ダウンロードポータルを多数作成し、10以上の言語向けにローカライズしたページを用意していました。

各アーカイブには、Microsoft署名済みの正規install.exeに加え、悪意あるコンパニオンファイルinstall.res.1033.dll、そして偽装したソフトウェア本体とScreenConnectのMSI(vcredist_x64.dllなど紛らわしいファイル名に偽装)を格納したAssetsフォルダが含まれています。

実行は、署名済みのinstall.exeが起動され、DLLサイドローディングによって不正なDLLが読み込まれることから始まります。このDLLはmsiexecに指示を出し、ScreenConnectサービスを無害に見える名前(例えば「Microsoft Update Service」)でサイレントインストールさせ、攻撃者が制御する管理サーバーにサービスを向けさせます。

ScreenConnectが稼働を開始すると、足場を強化するPowerShellとVBScriptのスクリプトが実行されます。これらはディスクのルート全体や重要プロセスに対してDefenderの除外設定を追加し、ConsentPromptBehaviorAdminを0に設定してUACプロンプトを無効化し、追加のペイロードコンポーネントをC:\Users\Publicに配置します。

多段階のローダーが暗号化データのブロブ(secret_bytes.txt)を展開し、cap.ps1が16進タグ付きシーケンスの変換、0xA7によるXOR処理、ビット順の反転を行うことでこれを復号し、PEイメージを再構築します。

Image

Kaspersky Managed Detection and Response(MDR)チームは、ScreenConnectリモートアクセスツールがAsyncRATペイロードの展開・実行に悪用されていることを発見しました。

復元された.NETアセンブリはリフレクティブローディングによりCLRに読み込まれ、そのConsoleApp1.Module1.Runメソッドがリフレクション経由で呼び出されます。

ScreenConnectによるAsyncRATの展開

その後、ローダーはプロセスホローイング(RegAsm.exeをサスペンド状態で起動し、そのイメージを差し替える手法)を用いてAsyncRATをホストします。これにより、オリジナルのRegAsmバイナリに紐づくシグネチャベースやヒューリスティックベースの検知を回避します。

検索エンジン最適化(SEO)の手法により、これらの悪意あるページの多くは自然検索結果の上位に表示され、被害者をobs-studio-windows-x64.zipなどのアーカイブのダウンロードへと誘導していました。

Image

永続化は、2分ごとに実行されるスケジュールタスク(MasterPackager.Updater)によって達成され、ローダーチェーンを再トリガーし、再起動後もアクセスを再確立します。

Kasperskyによる追跡調査の結果、複数のIPと数十のドメインにまたがる2つの主要なインフラクラスターが明らかになりました。

アーカイブは別々のファイルリポジトリとダウンロードノードでホストされていた一方、ScreenConnectの設定情報へのアクセス(CAB内のsystem.config)やその他のアーティファクトから、ScreenConnectとAsyncRATの両コンポーネントにまたがる広範なC2構成が浮かび上がりました。

Image

登録タイムスタンプによると、この活動は2025年10月に開始され、2026年3月まで続いていました。偽装ページの多くは現在も発見可能な状態にあります。

このキャンペーンは、いくつかの危険な傾向を示しています。すなわち、正規のリモート管理ツールの悪用、サイドローディングによる署名済みバイナリの武器化、そしてメモリ上でペイロードを再構築・実行する高度な多段階ローダーです。

攻撃者がSEOを用いて悪意あるランディングページの露出を高めている点は、一般ユーザーと企業のエンドポイントの双方にとってリスクを増大させます。特にリモートアクセスツールが許可リストに登録されている環境では深刻な問題となります。

防御上の優先事項は明確です。アプリケーションの許可リスト制御を徹底し、信頼できない場所からのMSI実行をブロックすること。新規サービスやスケジュールタスクの作成を監視すること。署名済みのシステムバイナリやインストーラーバイナリの異常な使用を検知すること。未知のドメインへの送信接続をフィルタリングすること。そしてユーザーに対しダウンロード元の確認を継続的に教育することです。

IOC(侵害指標)

種別 指標 説明
Domain mora1987[.]work[.]gd AsyncRAT C2サーバーのドメイン
URL hxxps[:]//fileget.loseyourip[.]com/obs-studio-windows-full/gVOMs5VZ9BtlcaM 悪意あるOBS Studioインストーラーのダウンロードリンク
URL hxxps[:]//direct-download.giize[.]com/dns-jumper/iopbsr4hymbo7nfa1q7j 悪意あるDNS Jumperインストーラーのダウンロードリンク

注: IPアドレスおよびドメインは、誤って解決またはハイパーリンク化されるのを防ぐため、意図的に無効化(defang)されています(例: [.])。再度有効化(re-fang)する際は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://gbhackers.com/screenconnect-to-deploy-asyncrat/

ソース: gbhackers.com