🛡 概要
最近、サイバー攻撃者がConnectWise ScreenConnectインストーラーを利用してリモートアクセスマルウェアを構築する事例が報告されています。この手法は、クライアントのAuthenticode署名に隠された設定を変更することで実現されます。ConnectWise ScreenConnectは、IT管理者やマネージドサービスプロバイダーがリモートでデバイスをトラブルシューティングするためのソフトウェアですが、悪用されると深刻な脅威となります。
🔍 技術詳細
攻撃者は、Authenticodeスタッフィングという手法を用いて、デジタル署名を保持しつつ、証明書テーブルにデータを挿入します。G DATAは、証明書テーブルを変更した悪意のあるConnectWiseバイナリが観察されたと報告しています。これにより、感染したデバイスへの初期アクセスが可能となります。特に、BleepingComputerフォーラムで発見された最初のサンプルは、フィッシング攻撃により感染したユーザーからの報告があり、PDFやCanvaページを介して配布されました。これにより、攻撃者は正規のConnectWise ScreenConnectクライアントをマルウェアに変換し、感染したデバイスに密かにアクセスすることができました。
⚠ 影響
この攻撃手法により、ユーザーは知らぬ間にマルウェアに感染し、個人情報や機密データが攻撃者に盗まれる危険があります。G DATAは、これらのサンプルをWin32.Backdoor.EvilConwi.*およびWin32.Riskware.SilentConwi.*としてフラグ付けし、ConnectWiseはこれに対処するために証明書を取り消しましたが、ユーザーの安全が脅かされています。さらに、SonicWallのNetExtender VPNクライアントのトロイの木馬バージョンも報告されており、ユーザー名やパスワードが攻撃者に送信されるリスクがあります。
🛠 対策
ユーザーは、信頼できる公式サイトからのみソフトウェアをダウンロードすることが重要です。また、フィッシング攻撃に対して警戒し、疑わしいリンクや添付ファイルを開かないようにする必要があります。セキュリティソフトウェアを導入し、常に最新の状態に保つことで、こうしたマルウェアからの防御を強化できます。さらに、定期的なシステムスキャンを行い、異常な挙動を早期に発見することが推奨されます。
