Phishing Campaign Hits 80+ Orgs Using SimpleHelp and ScreenConnect RMM Tools
An active phishing campaign has been observed targeting multiple vectors since at least April 2025 with legitimate Remote Monitoring and Management (RMM) software as a way to establish persistent remote access to compromised hosts. The activity, codenamed VENOMOUS#HELPER, has impacted over 80...
Eine aktive Phishing-Kampagne namens VENOMOUS#HELPER nutzt seit mindestens April 2025 legitime RMM-Software, darunter SimpleHelp und ScreenConnect. Ziel ist es, persistenten Remote-Zugriff auf kompromittierte Hosts aufzubauen. Mehr als 80 Organisationen sind laut Artikel betroffen.
Mehr als 80 Organisationen.
Legitime RMM-Software kann Sicherheitskontrollen erschweren und persistenten Zugriff ermöglichen.
Angreifer könnten nach erfolgreichem Phishing dauerhaften Remote-Zugriff auf Endpunkte behalten.
SimpleHelp- und ScreenConnect-Nutzung inventarisieren, nicht autorisierte Installationen blockieren und betroffene Hosts auf Persistenz prüfen.
- ▸Endpoint-Telemetrie auf neue SimpleHelp- oder ScreenConnect-Installationen prüfen.
- ▸Netzwerkverbindungen zu RMM-Infrastruktur auf unerwartete Ziele und ungewöhnliche Benutzerkontexte prüfen.
- ▸Incident-Response-Playbooks für Phishing mit anschließender RMM-Installation testen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Der Artikel beschreibt eine aktive Phishing-Kampagne. |
| Command and Control | T1219 Remote Access Software | High | Der Artikel nennt SimpleHelp und ScreenConnect als legitime RMM-Software für persistenten Remote-Zugriff. |
- Die genannten Zielvektoren werden nicht im Detail beschrieben.
- Betroffene Länder und Branchen sind nicht im Artikel angegeben.
- Konkrete IOCs sind nicht im Artikel angegeben.