ScreenConnect を悪用する脅威アクターたち:RMM の機能を逆手に取る侵害の手法とは?

ScreenConnect Abused by Threat Actors to Gain Unauthorized Remote Access to Your Computer

2025/10/14 CyberSecurityNews — 長年にわたり Remote Monitoring and Management (RMM) ツールは、IT 管理者にとって不可欠な資産として機能し、企業のエンドポイントを網羅し、シームレスなリモート制御/無人アクセス/スクリプトによる自動化を提供してきた。その一方で、ここ数ヶ月でセキュリティ研究者が確認しているのは、ConnectWise の RMM ソリューションである ScreenConnect を、初期侵入と継続的な制御のためのバックドアとして悪用する攻撃者の急増である。

これらの攻撃は、認証情報の侵害を狙う広範なフィッシング・キャンペーンから生まれたものである。攻撃者たちは、ScreenConnect の柔軟なインストーラーと招待リンクのメカニズムを悪用し、ディスク上のフットプリントを最小限に抑えながら従来の防御をすり抜ける。

通常において、このキャンペーンは正当な IT アラートを装うスピア・フィッシング・メールから始まり、カスタマイズされた ScreenConnect インストーラーのダウンロードや、招待リンクのクリックへと、受信者を誘導する。

Malicious email with malicious link (Source – Dark Atlas)

それらの悪意のアクションが実行されると、MSI パッケージは完全にメモリ内に展開され、シグネチャ・ベースのウイルス対策を回避し、一時的なサービス・バイナリのみをドロップする。

そこに埋め込まれているエージェントは Windows Client サービスとして登録され、ファイルシステム/プロセス実行/ホストのネットワーク・スタックへの自由にアクセスが、攻撃者に許されてしまう。

その結果として、脅威アクターたちは数時間以内に権限昇格と水平展開を行い、定期メンテナンスを装いながら機密データを盗み出すことが確認されている。

Dark Atlas のアナリストたちが特定したのは、攻撃者がネットワーク・ベースの侵害指標を回避していることだった。具体的には、ビルダー構成をリアルタイムでカスタマイズし、固有のホスト名と暗号化された起動キーをクライアントの system.config ファイルに埋め込むというチェーンが構成されている。

これらの動的に生成されたパラメータは、ScreenConnect.ApplicationSettings の XML セクションにマッピングされ、悪意のドメインは攻撃者が管理するインフラに DNS 解決される。

この戦術は、C2 (Command and Control) チャネルを難読化する一方で、それぞれの展開は個別の運用インスタンスとして、防御側に対して表示される。

感染メカニズムとインストーラのアーティファクト

この ScreenConnect インストーラは、組み込みの RMM 機能を悪用して検出を最小限に抑えながら、永続性を維持する。

したがって、攻撃者は管理コンソールからカスタムビルダーを生成し、標的の環境に応じた MSI または EXE パッケージを選択できる。

この悪意のインストーラが起動すると、無害に見えるディレクトリ (例:C:\ProgramData\ScreenConnectClient) に Windows Client 実行ファイルと関連 DLL が書き込まれ、その後に、難読化されたコマンド・ラインでサービスが呼び出される。

典型的な実行スニペットは以下のようになる。

Start-Process -FilePath "msiexec.exe" -ArgumentList "/i ScreenConnect.ClientSetup.msi /qn /norestart" -WindowStyle Hidden

このインストール時に、エージェントは system.config XML を作成し、attacker.example.com-203.0.113.45-1631789321000 を保存して、クライアントをコマンド・サーバにバインドする。

この永続性は、ScreenConnect ClientService という登録済みの Windows サービスにより実現されるため、再起動時にもバイナリが再起動される。

AnyDesk Chat Files (Source – Dark Atlas)

ライブチャットのトランスクリプトやセッション・ログなどの、メモリのみに保存されるアーティファクトは、プロセス・ヒープだけに存在するため、フォレンジック・リカバリには揮発性メモリに対するキャプチャが必要となる。

つまり、メモリ内実行/カスタム構成ビルダー/暗号化された起動キーを組み合わせる脅威アクターは、正当な RMM ソリューションをステルス性の高い RAT (Remote Access Trojan) に変換し、セキュリティ運用チームによる検出とインシデント対応を複雑にしている。

ScreenConnect のインストーラー/招待リンクの柔軟性を悪用する、脅威アクターたちの手口を分析する記事です。MSI をメモリ内で展開してディスク痕跡を最小化する手法や、ビルダーで動的に固有の起動キーやホスト名を埋め込む運用により、シグネチャやネットワーク指標での検出が難しくなっています。ご利用のチームは、ご注意ください。よろしければ、ScreenConnect で検索も、ご参照ください。