Slapdash Safeguards

にわか仕込みのセキュリティ

パーティーの招待状はリモートアクセスツール???(ScreenConnect Client)

by skybreaker 脅威情報

メールでパーティーの招待状というものが来て、オンラインの招待状ページとされるURLにアクセスすると招待状と主張される何かがダウンロードされる。

Webページには招待状をクリックして開けてくださいと指示があるが、その招待状とされるものは.msiインストーラ

招待状を開く(msiをクリックする)と、無事ScreenConnectがインストールされて、リモート操作が開始するようだ。
www.malwarebytes.com

誰がひっかるのかのか分からないところが、高度な攻撃ということか。ᐠ( ᐛ )ᐟᐠ( ᐛ )ᐟ

ScreenConnectってインストールするだけで、リモートアクセス始められるんだ

ScreenConnectは、サポート詐欺やランサムウェア攻撃者のGUIリモートアクセスツールとして使用される印象が強い。

今回は、メールで送られてきたURLを開くとオンラインの招待状がダウンロードされると。

malwarebytesの関連記事より(https://www.malwarebytes.com/blog/threat-intel/2026/02/how-fake-party-invitations-are-being-used-to-install-remote-access-tools)

ここでダウンロードされるのがScreenConnectのインストーラということだ。そもそも、これ誰がダウンロードして実行するんだってのは置いておく。

AnyDeskとかRescueとかは、クライアントインストール後に何らかの番号とかを入力しないとリモートアクセスを開始できないイメージ。

しかしながら、ScreenConnectの場合は事前に接続用情報が埋め込まれたインストーラを管理画面で作成することで、インストール後直ぐに自動接続するようにできるんですね。
Remote access guide - ConnectWise

Install an access agent - ConnectWise

実は、AnyDeskとRescueにもそういう機能あるのではと思ったら、あったわ。

AnyDeskの場合

無人アクセス設定
Set up Unattended Access

CLIインストール
Command-line interface for Windows

Rescueの場合

自動アクセスインストーラの作成
Unattended access setup - Rescue Support

Microsoft Intuneでの展開も公式サポート
LogMeIn Resolve unattended MSI deployment in Intune (Microsoft Endpoint Manager) - LogMeIn Resolve Support

EDR回避とかがんばらなくても、RMMツールライセンスを持っていれば侵入できるということですね

リバースシェルの代わりにScreenConnectとか、RMMツールを使える。

サポート詐欺が流行り始めて以来、RMM系の正規ライセンス取得には様々な手続きが必要。だが、ダークウェブにはクラックライセンスというのも出回っているらしい。

そういうので、楽に侵入できるプログラムとして活用されてるんでしょうなぁ。

クラックライセンスと言われて騙されてインフォスティーラーをインストールさせられる攻撃者も居るようだが。