SILENTCONNECTは、偽のオンライン招待状と信頼されたクラウドサービスを悪用して、ConnectWise ScreenConnectリモートアクセスツールを被害者のシステムに静かに展開する新しいマルチステージWindowsローダーです。
このキャンペーンは、ソーシャルエンジニアリング、ラネスバイナリの活用、低レベルの回避技術を組み合わせて、従来の監視では発見が難しいキーボードへの直接アクセスを実現しています。
攻撃は、プロジェクト招待や提案リクエストを装ったフィッシングメールで始まり、ユーザーにドキュメントやミーティング詳細へのアクセスを約束するリンクをクリックさせます。
そのリンクは、被害者を「招待状」を表示する前の人間認証ステップとしてフレーム化されたCloudflare Turnstile CAPTCHAページにリダイレクトします。
チェックボックスをクリックすると、E-INVITE.vbsやProposal-03-2026.vbsなどのVBScriptファイルがCloudflareのr2.devオブジェクトストレージから自動的にダウンロードされます。
Elastic Security Labsは、以前に文書化されていないローダーを含むマルチステージ感染をもたらす悪意のあるキャンペーンを監視しています。
VBScriptはわずかにのみ難読化されており、子供向け物語をデコイとして使用し、Replace()とChr()呼び出しで実際のロジックを隠しています。
PowerShellはAdd-Typeを使用してこのC#コードを.NETアセンブリとしてメモリ内でコンパイルし、HelloWorld::SayHello()エントリーポイントを即座に実行し、従来のPEペイロードをディスク上に保持しません。
SILENTCONNECTローダーの内部
コンパイルされた.NETコンポーネントはSILENTCONNECTローダーで、ScreenConnectを静かに配信することに焦点を当てたコンパクトなモジュールです。
難読化を解除すると、ExecutionPolicy Bypassを使用してPowerShellを起動し、curl.exeを使用してGoogle DriveからC#ソースファイルをC:\Windows\Temp\FileR.txtにフェッチします。
短い待機時間の後、NtAllocateVirtualMemoryを介してRWXメモリを割り当て、より高いレベルの監視対象API を呼び出さずにプロセスメタデータを取得するために、プロセス環境ブロック(PEB)をウォークする小さなシェルコードスタブを書き込みます。
SILENTCONNECTは、ntdll.dllのNT APIとole32.dllのCOM APIに依存し、.NETデリゲートから直接呼び出して、メモリを書き込み、COMオブジェクトと対話しながら、より高いレベルのフレームワーク呼び出しによる可視性を軽減します。
最終的なペイロードをインストールする前に、逆転した昇格モニカー文字列を使用してCMSTPLUA COMインターフェースを通じてUACバイパスを試み、その後、昇格されたコマンドを再構築して実行します。
このPEBハンドルを使用して、SILENTCONNECTはPEBマスカレードを実行し、独自のモジュールエントリーを見つけて、BaseDllNameとFullDllNameをwinhlp32.exeとc:\windows\winhlp32.exeに上書きし、自分自身を良性のWindows Helpバイナリとして偽装します。
このステージの一部として、文字演算を通じてAdd-MpPreferenceコマンドを動的に構築し、PowerShellを通じて実行することにより、.exeファイルのMicrosoft Defender除外を追加します。
静かなScreenConnect展開
防御が弱くなり、SILENTCONNECTはC:\Tempを作成し、curl.exeを再度使用してbumptobabeco[.]topからScreenConnect MSIをダウンロードし、msiexec.exeを起動してサイレントインストールを実行します。
別のドメインがMicrosoft Teamsページになりすましており、ユーザーにファイルをダウンロードするよう要求します。これはSyncro RMM Agentの悪用につながります。
ScreenConnectクライアントはWindowsサービスとして自身を登録し、攻撃者制御のScreenConnectサーバーへのビーコンをTCPポート8041経由で開始し、演算子に正当なIT支援活動に密接に似た永続的なリモートアクセスを与えます。
並行して、他の関連するルアは複製されたDocuSignおよびMicrosoft Teamsページを悪用して、事前設定されたScreenConnectまたは他のRMMエージェントをプッシュし、ローダーステージを完全にバイパスしながら同じリモート制御目的を維持しています。
運用上、脅威行為者はインフラストラクチャの選択肢に関して規律と脆弱性の両方を示します。
複数の侵害されたドメイン全体でdownload_invitee.phpパスを一貫して再利用しており、これによって研究者はVirusTotalで機軸を取ってマップアウトし、追加の感染したサイトを特定することができました。
同時に、彼らはホスティング用のCloudflareおよびGoogle Driveなどの信頼されたプラットフォームを多く利用しており、防御側がネットワークレイヤーでこれらのサービスを完全にブロックするのは危険です。
このキャンペーンは、攻撃者がいかに複雑なエクスプロイトよりも単純で低ノイズのチェーンを好み続けるか、VBScript、PowerShell、curl.exe、msiexec.exe、およびNT APIコールに頼って通常のWindows活動に混ぜ込もうとするか、ということを強調しています。
セキュリティチームは、インターネットからダウンロードされたVBScriptファイル、リモートダウンロードでAdd-Typeを組み合わせたPowerShellコマンド、およびMicrosoft Defender除外リストの予期しない変更を密接に監視する必要があります。
環境は、許可されていないRMMインストーション検索および不明なScreenConnectインスタンスへのアウトバウンド接続を日常的に監査する必要があります。これらのツールは多くの組織内で高レベルの暗黙の信頼を保持しているためです。
翻訳元: https://gbhackers.com/screenconnect-rat/
