Elastic Security Labsは、ScreenConnect Remote Monitoring and Management (RMM)ツールを配信するために、SILENTCONNECTという名称の未公開ローダーを使用した新しい悪意のあるキャンペーンを特定しました。
この隠密作戦は、信頼されたプラットフォームと「地にあるものを使う」バイナリを悪用してペイロードを実行することにより、2025年3月以来、ほぼ検出されないままになっています。
SILENTCONNECTの感染チェーンは、ユーザーがプロジェクト提案またはデジタル招待状に見せかけたフィッシングメールを受け取ったときに開始されます。
提供されたリンクは被害者を侵害されたインフラストラクチャ上でホストされた偽のCloudflare Turnstile CAPTCHAページにリダイレクトします。ユーザーが検証チェックボックスをクリックすると、最小限に難読化されたVBScriptファイルがターゲットマシンにダウンロードされます。
このスクリプトは初期ダウンローダーとして機能し、子どもの物語のおとりと文字列操作を活用してその真の目的を隠します。
実行時に、VBScriptはPowerShellプロセスを生成し、curlユーティリティを使用してGoogle Driveから難読化されたC#ペイロードを取得します。
このペイロードはPowerShellがAdd-Type コマンドレットを使用してC#ソースコードを実行時にコンパイルする前に一時的に保存されます。コンパイルされた.NETアセンブリはメモリに直接ロードされ、リフレクティブに実行され、従来のディスクベースの実行フットプリントを完全に回避します。
コアSILENTCONNECTローダーがアクティブになると、セキュリティソリューションから隠れるために高度な回避戦術を採用します。マルウェアはネイティブNtAllocateVirtualMemory APIを使用して実行可能メモリを割り当てます。
プロセス環境ブロック(PEB)を動的に見つけるために小さなシェルコードスタブを注入します。PEBに直接アクセスすることにより、SILENTCONNECTは監視されている高レベルのWindows APIをバイパスします。
ローダーはPEB内の独自のモジュールエントリを変更し、その名前とパスを上書きして、良性のWindowsユーティリティwinhlp32.exeになりすまします。
このPEBマスカレード技術は、PEBを信頼できるデータソースとして依存するエンドポイント検出応答(EDR)エージェントを効果的に盲目にします。
SILENTCONNECTの背後にある脅威行為者は、特にCloudflareとGoogle Driveの正当なホスティングプロバイダーを大量に悪用し、ネットワーク防御者が悪意のあるトラフィックを直接ブロックすることを困難にしています。
しかし、攻撃者は様々な侵害されたウェブサイト全体でURIパスdownload_invitee.phpを一貫して再利用することによって、ずさんな運用上のセキュリティ を示しました。
この一貫性のある命名規則により、研究者はピボットし、RMMエージェントを直接配信した偽のDocuSignおよびMicrosoft Teamsポータルを含む追加インフラストラクチャを発見することができました。
ScreenConnect Elasticなどの正当なRMMソフトウェアの悪用は引き続き成長傾向にあります。これらのツールは企業環境内で本質的に信頼されており、典型的な管理トラフィックとシームレスに融合しているためです。
セキュリティチームは、予期しないDefender除外を監視し、.NETプロセスからの予期しないメモリ割り当てコールを追跡し、権限のないRMM使用についてネットワークを監査することをお勧めします。
次の表は、このキャンペーンに関連する主要な指標とファイルアーティファクトの概要を示しています。
翻訳元: https://cyberpress.org/silentconnect-delivers-screenconnect-rat/