概要
SilentConnectは、新しいマルチステージWindowsローダーで、信頼できるクラウドサービスと偽のオンライン招待を悪用して、被害者のシステムに非表示でScreenConnectリモートアクセスツール(RAT)を展開します。この攻撃キャンペーンでは、ソーシャルエンジニアリング、living-off-the-landバイナリ、および低レベルの回避技術が組み合わさり、従来の監視において目立たないように手動操作型アクセスを達成します。
攻撃の仕組み
この攻撃はフィッシングメールから始まります。プロジェクト招待や提案要求などと偽装されたメールがユーザーに届きます。そのリンクをクリックすると、Cloudflare Turnstile CAPTCHAページにリダイレクトされ、人間の検証ステップとして表示されます。
VBScriptファイルのダウンロード
CAPTCHAチェックボックスがクリックされた後、E-INVITE.vbsやProposal-03-2026.vbsなどのVBScriptファイルがCloudflareのr2.devオブジェクトストレージから自動的にダウンロードされます。
PowerShellとC#コード
VBSクリプトは軽度にオブフォスケートされており、子供向けの物語を偽装として使用し、実際のロジックはReplace()やChr()コールで隠されています。その後、PowerShellがAdd-Typeを使用してこのC#コードをメモリ内で.NETアセンブリとしてコンパイルし、即座にHelloWorld::SayHello()エントリーポイントを実行します。
ScreenConnectの展開
SILENTCONNECTはNT APIとCOM APIを使用してメモリに書き込み、COMオブジェクトと対話しながら、高レベルフレームワークコールによる可視性を最小限に抑えます。ユーザー権限昇格(UAC)バイパス後、ScreenConnectのインストーラーがダウンロードされ、Windowsサービスとして登録されます。
セキュリティ対策
この攻撃を防ぐためには、VBScriptファイルのインターネットからのダウンロードやPowerShellコマンドの監視、Microsoft Defender除外リストの変更などを注意深くチェックすることが重要です。また、組織内での不審なRMMインストールや未知のScreenConnectインスタンスへの接続を定期的に調査することも推奨されます。