JPEG悪用のScreenConnectマルウェア、RAT配布を確認

JPEG悪用によるScreenConnectマルウェア配布

JPEGファイルを利用して、ConnectWise ScreenConnectを装ったマルウェアを配布する攻撃が確認されている。本キャンペーンでは、「sysupdate.jpeg」と呼ばれるファイルが使用され、内部に難読化されたPowerShellスクリプトが含まれている。

攻撃では、PowerShellベースの実行チェーンを利用し、フィッシングメールや偽の更新通知を通じて配布が行われる。実行後はステージング用フォルダが生成され、非標準ポート5443を利用して外部インフラとの通信が行われる構成となっている。

また、本件では文字列難読化やAMSI回避機能も確認されており、通常のスクリプト検知を回避する挙動が含まれている。導入後には、認証情報取得やリモート操作機能を含む活動が行われるケースが確認されている。

正規Windows機能を利用した実行・回避手法

本キャンペーンでは、Microsoftの.NETコンパイラ「csc.exe」を利用して「uds.exe」を生成する手法が確認されている。この構成により、実行ファイルごとに異なるハッシュ値が生成されるケースがある。

また、「ComputerDefaults.exe」を利用したUAC回避手法も確認されている。攻撃では、正規Windowsバイナリを利用することで通常プロセスに類似した実行形態が取られている。

改変されたScreenConnectクライアントには、ポート8041を利用したC2通信機能が含まれており、リモート操作や監視関連機能が実装されている。また、ユーザーセッションごとに異なる暗号化キーを生成する構成も確認されている。

本件では、情報取得、追加侵入、ランサムウェア配布など複数の活動に利用可能な構成が確認されている。

PowerShell実行と外部接続監視の重要性

本件では、PowerShell実行や正規リモート管理ツールを利用した攻撃構成が確認されている。特に、UAC回避やレジストリ変更を伴う動作に加え、ScreenConnect関連通信を利用した外部接続が行われるケースがある。

また、「OneDriveServers」など通常とは異なる名称を利用したクライアント通信も確認されており、リモート管理ツールの利用状況や外部接続先を含めた継続的な監視の重要性が指摘されている。