Source: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html
🛡 概要
最近、サイバーセキュリティ研究者はConnectWise ScreenConnectを利用してAsyncRATというリモートアクセス型トロイの木馬(RAT)を配布する新たな攻撃キャンペーンの詳細を公開しました。この攻撃では、正当なリモート管理ソフトウェアを悪用し、感染したホストから敏感なデータを盗むことを目的としています。攻撃者はScreenConnectを介してリモートアクセスを取得し、VBScriptとPowerShellを用いたローダーを実行します。これにより、外部URLから難読化されたコンポーネントを取得し、最終的にAsyncRATを展開します。
🔍 技術詳細
攻撃の感染チェーンにおいて、攻撃者はScreenConnectを使ってリモートセッションを開始し、Visual Basic Scriptのペイロードを手動で実行します。VBScriptはPowerShellを利用して外部のペイロード「logs.ldk」と「logs.ldr」を取得します。「logs.ldk」はDLLであり、別のVBScriptをディスクに書き込み、スケジュールタスクを介して持続性を確保します。このスクリプトには、攻撃の初期段階で見られたのと同じPowerShellロジックが含まれています。重要な点として、AsyncRATはキーストロークの記録、ブラウザの資格情報の盗難、暗号通貨ウォレットアプリのスキャンといった機能を持っています。
⚠ 影響
この攻撃により、企業や個人は機密情報や金融データを危険にさらされる可能性があります。特に、AsyncRATは金融文書を装ったトロイの木馬として配布されており、フィッシングメールを通じて広がることが確認されています。また、このマルウェアはファイルレスで動作するため、従来のマルウェアよりも検出が困難です。このような攻撃に対する防御が不十分な場合、深刻なセキュリティリスクが生じることになります。
🛠 対策
企業や個人は、ScreenConnectを含むリモート管理ソフトウェアの利用において、常に最新のセキュリティパッチを適用し、不審なメールや添付ファイルを開かないことが重要です。さらに、エンドポイントセキュリティを強化し、異常な挙動を監視するためのソリューションを導入することが推奨されます。また、ユーザー教育を通じてフィッシング攻撃に対する意識を高めることも、効果的な対策の一部です。
