ConnectWise ScreenConnectをリモート操作のために展開する複数のフィッシングキャンペーンは、AIによって強化されたソーシャルエンジニアリングの巧妙さ、広がり、危険性を示しています。
進行中のScreenConnect脅威の例は、現代のサイバー犯罪の主な側面を浮き彫りにしています。すなわち、AIによって強化・拡大・高度化されたソーシャルエンジニアリング、信頼とステルス性を利用したセキュリティコントロールの欺き、そしてプロフェッショナル化された犯罪サービス(CaaS)エコシステムの最大活用です。
現在のScreenConnectキャンペーンは攻撃の詳細こそ異なりますが、すべて基本的なプロセスに従っています。すなわち、フィッシング攻撃によってScreenConnectが展開され、被害組織へのリモートアクセスや制御が可能になるというものです。研究者たちは、世界中で900以上の企業が標的になっていることを発見しました。
攻撃の最初の準備段階は、正規のメールアカウントを侵害することです。これは攻撃者自身の別のフィッシングや、インフォスティーラーのログなど、ますます高度化するCaaSアンダーグラウンドから購入することで入手される場合もあります。
「攻撃者がメールアカウントを侵害、または侵害済みのアカウントを入手すると、通常は被害者のアドレス帳、配信リスト、進行中の会話を悪用して外部に拡大していきます」とAbnormal AIの脅威インテリジェンス責任者であるPiotr Wojtyla氏は説明します。「彼らは同僚、ビジネスパートナー、サプライヤー、そして侵害されたユーザーが定期的にやり取りしている相手にフィッシングメールを送り、信頼関係を武器化します。既存のスレッドに悪意のあるリンクや添付ファイルを挿入することで、攻撃者は信憑性を高め、フィッシングを見抜きにくくしています。」
AbnormalはScreenConnectに関する調査結果を公開しています(PDF)。
本格的なキャンペーンは、正規だが侵害されたメールアカウントから送信されるフィッシングメールから始まります。一般的な手法は、メールをZoomミーティングへの招待状に偽装することです。これには社内のセキュリティツールが反応しにくいです。また、VercelのvO(テキストプロンプトから完全なユーザーインターフェースを構築するAIツール)によって作成されたとみられる「プロフェッショナル」な形式など、AI支援によるメールの品質は、受信者に明らかな警告サインを与えません。
同様の手法はMicrosoft Teamsでも使われています。ターゲットがTeamsミーティングに参加するよう誘導されると、最新バージョンのTeamsをダウンロードするよう促されますが、実際はScreenConnect(正規のリモート監視・管理(RMM)ソフトウェア)がダウンロードされます。
広告。スクロールして続きをお読みください。
信頼の心理も的確に突いています。Zoomに慣れている受信者は違和感なく受け入れ、そうでない人もZoomへの招待を励みと感じるでしょう。招待は、Zoomミーティングについて議論している進行中のスレッドに挿入されている場合もあります。
目的は、ターゲットに偽装された悪意あるリンク(例:「最新バージョンのZoomをダウンロード」とラベル付けされたボタン)をクリックさせることです。これによりユーザーは外部サイトにリダイレクトされ、ScreenConnectがダウンロードされます。攻撃者はこの過程で、セキュリティ上の警告サインが出ないよう細心の注意を払います。
観察された手法には、SendGridなどの正規メールサービスプロバイダーを使って悪意あるURLを信頼できるドメインでラッピングする、オープンリダイレクトの悪用、Base64エンコードによるリンク分割、Cloudflare Workersのような信頼できるクラウドプラットフォームの悪用などがあります。特にCloudflare Workersは、攻撃インフラのホスティングにいくつかの利点をもたらします。Cloudflareの良好な評判を利用でき、世界中どこでも高速配信が可能で、暗号化接続やジオブロック回避などの機能も備えています。
攻撃者は1つのターゲットで終わりません。横方向のフィッシングで拡大します。「これにより、ScreenConnectを被害組織内やパートナーネットワークに横展開でき、サプライチェーンの侵害につながる可能性があります」とWojtyla氏は述べています。「彼らは被害者のアドレス帳、配信リスト、進行中の会話を悪用し、同僚、ビジネスパートナー、サプライヤー、そして侵害されたユーザーが定期的にやり取りしている相手を標的にします。」
外部パートナーとの既存のメールスレッドに悪意あるリンクを挿入することで、この攻撃は事実上サプライチェーン攻撃となり、信頼されたビジネス関係を武器化します。
Abnormal AIが説明する攻撃は、フィッシングを通じたScreenConnectの展開に焦点を当てています。しかし、主な教訓は現代サイバー犯罪の巧妙さです。アクセスブローカーによる初動とCaaS提供ツール、AI支援のソーシャルエンジニアリングフィッシングメールやビジネスフォーム、高度なステルス作戦、そしてもちろん侵害されたメールアカウントのピボット範囲が組み合わさっています。
主な目的は、ScreenConnectによる侵害をアクセスブローカー市場に再販することです。しかし、これは始まりに過ぎないかもしれません。「ScreenConnectの即使用可能なキットや既成のアクセスが販売されていることで、購入者の動機が異なれば、より標的を絞った作戦が可能になります」とWojtyla氏は警告します。「ランサムウェアのアフィリエイトやスパイ活動グループが、同じツールや手法をより精密に適用することも容易です。現時点では大半が広範かつ機会的な活動にとどまっていますが。」
翻訳元: https://www.securityweek.com/hackers-weaponize-trust-with-ai-crafted-emails-to-deploy-screenconnect/