SILENTCONNECT と呼ばれるステルスローダーを使用する新しいマルウェアキャンペーンが、被害者システムにリモートアクセスソフトウェアをデプロイしています。
Elastic Security Labs のセキュリティ研究者は、攻撃者が単純なスクリプト、信頼できるプラットフォーム、および組み込みの Windows ツールを悪用してマシンを静かに制御していると報告しています。
感染チェーンはフィッシングスタイルのおとりで始まります。被害者は、デジタル招待状に偽装した偽の Cloudflare Turnstile CAPTCHA ページにリダイレクトされます。ユーザーが確認ボックスをクリックすると、悪意のある VBScript ファイルが自動的にダウンロードされます。
このスクリプトは、招待状またはドキュメントファイルのような名前で命名されることが多く、軽く難読化され、その動作を隠すために単純なトリックを使用しています。
実行されると、PowerShell を起動し、Google Drive でホストされている第 2 段階のペイロードをダウンロードします。このペイロードは、実はテキストファイルとして保存された C# ソースコードです。
PowerShell は、Add-Type 機能を使用してこのコードをメモリ内で直接コンパイルし、明らかなマルウェアをディスクに書き込むことを回避します。この手法は、攻撃が従来のアンチウイルス検出を回避するのに役立ちます。
コンパイルされたコードは SILENTCONNECT ローダーとして機能します。その主な目標は、IT チームが頻繁に使用する正当なリモート監視・管理(RMM)ツールである ScreenConnect をインストールすることです。ただし、この場合、攻撃者に被害者のシステムへの完全なリモートアクセスを与えます。
最終的なペイロードをデプロイする前に、SILENTCONNECT はいくつかの高度な回避技術を使用します。ネイティブの Windows API に依存し、セキュリティツールによって一般的に監視されている高レベルの関数を回避します。
1 つの重要な方法は PEB マスカレーディングです。マルウェアはメモリ内の身元を変更して、winhlp32.exe などの信頼できる Windows プロセスとして表示されます。これにより、目立たず検出を回避できます。
ローダーはまた、ユーザーアカウント制御(UAC)バイパスを使用して昇格された特権を取得します。その後、Windows Defender の設定を変更して、特定のファイルタイプまたはディレクトリをスキャンから除外し、マルウェア実行のためのより安全な環境を作成します。
システムを準備した後、マルウェアは curl.exe などの組み込みツールを使用して ScreenConnect インストーラーをダウンロードします。msiexec を使用してソフトウェアを静かにインストールし、ユーザーに警告しません。
インストールされると、ScreenConnect はサービスとして実行され、攻撃者が制御するサーバーに接続し、永続的なリモートアクセスを提供します。
このキャンペーンは、攻撃者が「living-off-the-land」技術に依存する増加傾向を強調しています。複雑なマルウェアを使用する代わりに、単純なスクリプトを Windows システムに既に存在する信頼できるツールと組み合わせます。これには、PowerShell、curl、およびシステム API が含まれます。
さらに、elastic Cloudflare と Google Drive などの信頼できるプラットフォームの使用により、検出がより困難になります。組織はこれらのサービスをブロックする可能性は低く、悪意のあるトラフィックが通常のアクティビティと混合されます。
研究者はまた、DocuSign や Microsoft Teams などのプラットフォームを模倣した関連するフィッシング電子メールと偽の Web サイトを観察しました。これらのおとりは、ユーザーに初期ペイロードのダウンロードまたはリモートアクセスツールの直接インストールをトリックします。
SILENTCONNECT キャンペーンは、攻撃者が必ずしも高度に複雑なマルウェアを必要としないことを示しています。単純なコンポーネント、信頼できるインフラストラクチャ、および巧妙な回避を組み合わせることで、効果的でステルスなシステム侵害を達成できます。
翻訳元: https://cyberpress.org/silentconnect-drops-screenconnect-stealthily/