2026年2月、Zscaler ThreatLabzのサイバーセキュリティ研究者が、詐欺的なソフトウェアダウンロードを利用してエンタープライズネットワークを侵害する非常に高度なサイバー攻撃キャンペーンを発見しました。
脅威アクターは、偽のAdobe Acrobat Readerインストールページを利用して、被害者に悪意のあるローダーをダウンロードするよう欺いています。約束されたPDFビューアを配信する代わりに、攻撃はConnectWise ScreenConnectをひそかに展開します。
ScreenConnectは正当な遠隔監視および管理アプリケーションですが、ハッカーはそれを積極的に悪用して、対象システムへの永続的で隠密のバックドアアクセスを確立しています。
ThreatLabzの分析によれば、このキャンペーンはメモリ内実行への大きな依存と、被害者のハードドライブに最小限のトレースを残す高度な回避技術が特徴です。
感染プロセスは、ユーザーがAdobeになりすまして詐欺的なウェブサイトを訪問するときに始まります。被害者のブラウザは、ソフトウェアインストーラーに偽装した高度に難読化されたVBScriptファイルを自動的にダウンロードします。
静的分析とセキュリティサンドボックスを回避するために、VBScriptローダーは実行時にオブジェクトを動的に再構築します。
例えば、複雑なテキスト置換関数と数学式を使用して実行シェル名を構築し、ASCII文字に解決することで、悪意のあるコマンドを標準的なセキュリティスキャナーから効果的に隠します。
結果として得られるオブジェクトは、隠しウィンドウでコマンドを実行する前に、ランダムに命名された変数に割り当てられます。
実行されると、VBScriptは実行バイパスフラグを利用してローカルセキュリティポリシーをオーバーライドするPowerShellコマンドをトリガーします。
このステージはGoogle Driveからセカンダリペイロードをダウンロードし、システムメモリに直接読み込み、組み込みの.NETライブラリを使用してC#コードを動的にコンパイルします。
コンパイルされた.NETローダーはリフレクションを使用して埋め込みアセンブリのエントリポイントを呼び出し、メソッド名をフラグメントに分割して静的分析ツールをさらに混乱させます。
ペイロードをコンピュータのメモリ内に完全に保持することで、攻撃者はハードディスクに保存されたファイルをスキャンすることに依存する従来のシグネチャベースのアンチウイルス防御をバイパスすることに成功しています。
セキュリティチームはこのキャンペーンに関連する特定の戦術、技術、および手順を探す必要があります。
監視すべき重要な技術的詳細と緩和策は以下を含みます:
脅威アクターが難読化、メモリのみのペイロード、および権限昇格をどのように組み合わせるかを理解することで、組織は信頼できる管理ツールの悪用に対するネットワークをより良く保護することができます。
翻訳元: https://cyberpress.org/fake-reader-deploys-screenconnect/
